DeFi-protokol Sovryn lider under udnyttelse, stjålet $1.1 millioner

Bitcoin-baseret decentral finansiel protokol Sovryn led en stor udnyttelse tirsdag, hvor en hacker drænede 1.1 millioner dollars fra protokollen. 

Hackeren udnyttede en ældre funktion til at dræne protokollen ved at bruge en prismanipulationsteknik i en af ​​protokollens udlånspuljer. 

Detaljer om hacket

Sovryn udgav en blogindlæg beskriver angrebet, som specifikt var rettet mod den gamle Sovryn Borrow/Lend-protokol, som påvirkede RBTC- og USDT-udlånspuljerne. Angrebet gjorde det muligt for hackerne at dræne mere end 1 million dollars af krypto fra protokollen, som også omfattede 211,045 USDT og 44.93 RBTC. 

RBTC og USDT er knyttet til Bitcoin og den amerikanske dollar. I tilfældet Sovryn er de baseret på Rootstock (RSK), en sidekæde af Bitcoin, som er designet til at udvide sidstnævntes smarte kontrakt, decentraliserede applikation (dApp) og skaleringsmuligheder. Sovryn-protokollen er bygget på RSK blockchain. Detaljer om hacket blev delt på Twitter af et håndtag kaldet @web3isgreat, som sagde, 

"Bitcoin-baseret DeFi-protokol, Sovryn, tabte 1 million dollars til et prismanipulationsangreb. En udnytter var i stand til at bruge projektets gamle låne- og lånefunktionalitet til ondsindet at trække 44.93 RBTC (~915,000 USD) og 211,045 USDT tilbage."

Angriberen brugte også Sovryns AMM-swap-funktion til at hæve nogle af midlerne, hvilket betød, at de endte med flere forskellige typer tokens. Blogindlægget tilføjede også, at bestræbelserne på at inddrive midlerne stadig er i gang. 

"På grund af den flerlagede sikkerhedstilgang, var udviklerne i stand til at identificere og inddrive midler, da angriberen forsøgte at hæve midlerne. På dette tidspunkt, gennem en kombineret indsats, har udviklerne formået at genvinde omkring halvdelen af ​​værdien af ​​udnyttelsen."

Første hack led af Sovryn 

Ifølge Sovryns talsmand, Edan Yago, var udnyttelsen den første succesrige udnyttelse af protokollen nogensinde i dens to års drift. Han fortsatte med at understrege, at Sovryn, på trods af hacket, forbliver et af de mest reviderede DeFi-systemer, med flere aktive bug-bounties. Udnyttelsen manipulerede Sovyrns iToken-pris, som er rentebærende tokens, der repræsenterer andelen af ​​krypto, som en bruger har i en udlånspulje. 

Hvordan udnyttelsen fungerede 

Hackeren købte først WRBTC (Wrapped RBTC) gennem en flash swap på RskSwap. Herefter lånte hackeren WRBTC fra Sovryns lånekontrakt og brugte deres egen XUSD som sikkerhed. Blogindlægget uddyber yderligere, 

"Angriberen leverede derefter likviditet til RBTC-lånekontrakten, lukkede deres lån med en swap ved hjælp af deres XUSD-sikkerhed, indløste (brændte) deres iRBTC-token og sendte WRBTC tilbage til RskSwap for at fuldføre flash-swap."

Denne proces hjalp hackeren med at manipulere iToken-prisen, hvilket gav dem mulighed for at trække mere RBTC fra den målrettede udlånspulje, end der oprindeligt blev deponeret. Sovryn udtalte dog, at hacket ikke påvirkede brugernes midler på nogen måde, og at enhver manglende værdi fra udlånspuljerne vil blive kompenseret gennem Sovryns statskasse. 

Hvad er det næste? 

Sovryn også kaste lys over, hvordan protokollen vil håndtere problemet fremover. I blogindlægget udtalte virksomheden, at bestræbelserne på at inddrive aktiver fra hackeren ville fortsætte, og en fuldstændig undersøgelse af udnyttelsen ville blive iværksat. Teamet hos Sovryn arbejder også på en plan for at få systemet tilbage til fuld funktionalitet. Det tilføjede dog, at vedligeholdelsestilstanden ville forblive på plads, indtil der er fuld tillid til systemsikkerheden. Den tilføjede også, at en obduktionsrapport også ville blive offentliggjort, når undersøgelsen er afsluttet.

Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.