Երեքշաբթի օրը բիթքոյնի վրա հիմնված ապակենտրոնացված ֆինանսական արձանագրությունը Sovryn-ը մեծ չարաշահում է կրել, երբ հաքերն արձանագրությունից 1.1 միլիոն դոլար է խլել:
Հաքերն օգտագործել է ժառանգական ֆունկցիան՝ ցամաքեցնելու արձանագրությունը՝ օգտագործելով գների մանիպուլյացիայի տեխնիկան արձանագրության վարկավորման լողավազաններից մեկում:
Մանրամասները The Hack
Սովրինը հրապարակել է ա օրագրում Հաղորդագրություն մանրամասնելով հարձակումը, որը հատուկ ուղղված էր Sovryn Borrow/Lend-ի ժառանգական արձանագրությանը, որն ազդեց RBTC և USDT վարկավորման լողավազանների վրա: Հարձակումը թույլ է տվել հաքերներին ավելի քան 1 միլիոն դոլար արժողությամբ կրիպտո արտահոսել արձանագրությունից, որը ներառում էր նաև 211,045 USDT և 44.93 RBTC:
RBTC-ն և USDT-ը կապված են Bitcoin-ի և ԱՄՆ դոլարի հետ: Sovryn-ի դեպքում դրանք հիմնված են Rootstock-ի (RSK) վրա՝ Bitcoin-ի կողմնակի շղթան, որը նախատեսված է ընդլայնելու վերջինիս խելացի պայմանագիրը, ապակենտրոնացված հավելվածը (dApp) և մասշտաբային հնարավորությունները: Sovryn արձանագրությունը կառուցված է RSK բլոկչեյնի վրա: Հաքերային հարձակման մանրամասները Twitter-ում տարածվել են @web3isgreat կոչվող բռնակով, որտեղ ասվում է.
«Բիթքոյնի վրա հիմնված DeFi արձանագրությունը՝ Sovryn-ը, 1 միլիոն դոլար կորցրեց գների մանիպուլյացիայի հարձակման պատճառով: Շահագործողը կարողացավ օգտագործել ծրագրի ժառանգական վարկավորման և փոխառության գործառույթը՝ չարամտորեն հանելու 44.93 RBTC (~ $915,000) և 211,045 USDT»:
Հարձակվողը նաև օգտագործել է Sovryn-ի AMM-ի փոխանակման ֆունկցիան որոշ միջոցներ հանելու համար, ինչը նշանակում է, որ նրանք ստացել են մի քանի տարբեր տեսակի թոքեններ: Բլոգի գրառումը նաև ավելացրել է, որ միջոցները վերականգնելու ջանքերը դեռ շարունակվում են։
«Անվտանգության բազմաշերտ մոտեցման շնորհիվ մշակողները կարողացան բացահայտել և վերականգնել միջոցները, քանի որ հարձակվողը փորձում էր հանել միջոցները: Այս պահին, համատեղ ջանքերի շնորհիվ, մշակողները կարողացել են վերականգնել շահագործման արժեքի մոտ կեսը»:
Առաջին հաքը, որը կրել է Սովրինը
Ըստ Sovryn-ի խոսնակ Էդան Յագոյի, շահագործումը արձանագրության առաջին հաջող շահագործումն էր իր երկու տարվա գործունեության ընթացքում: Նա շարունակեց շեշտել, որ Սովրինը, չնայած հաքերային հարձակմանը, շարունակում է մնալ ամենաշատ աուդիտի ենթարկված DeFi համակարգերից մեկը՝ մի քանի ակտիվ սխալների պարգևներով: Շահագործումը շահարկել է Sovyrn-ի iToken-ի գինը, որոնք տոկոսային նշաններ են, որոնք ներկայացնում են կրիպտոյի մասնաբաժինը, որը օգտատերը պահում է վարկային ֆոնդում:
Ինչպես աշխատեց The Exploit-ը
Հաքերն առաջին անգամ գնել է WRBTC (Փաթաթված RBTC)՝ RskSwap-ում ֆլեշ փոխանակման միջոցով: Դրանից հետո հաքերը վերցրեց WRBTC-ն Sovryn-ի վարկավորման պայմանագրից՝ որպես գրավ օգտագործելով սեփական XUSD-ը: Բլոգի գրառումը ավելի մանրամասն,
«Այնուհետև հարձակվողը իրացվելիություն է տրամադրել RBTC-ի վարկավորման պայմանագրին, փակել է իրենց վարկը սվոպով՝ օգտագործելով իրենց XUSD գրավը, մարել (այրել) իրենց iRBTC թոքենը և WRBTC-ն հետ ուղարկել RskSwap՝ ֆլեշ փոխանակումն ավարտելու համար»:
Այս գործընթացը օգնեց հաքերին շահարկել iToken-ի գինը՝ թույլ տալով նրանց հանել ավելի շատ RBTC նպատակային վարկավորման ֆոնդից, քան սկզբում ավանդադրված էր: Այնուամենայնիվ, Սովրինը հայտարարեց, որ կոտրումը որևէ կերպ չի ազդել օգտատերերի ֆոնդերի վրա, և որ վարկային ֆոնդից բացակայող ցանկացած արժեք կփոխհատուցվի Sovryn գանձարանի միջոցով:
Ինչ է սպասվում.
Սովրին նաև լույս սփռեց այն մասին, թե ինչպես է արձանագրությունը վերաբերվելու խնդրի առաջընթացին: Բլոգի գրառման մեջ ընկերությունը նշել է, որ հաքերից ակտիվները վերականգնելու ջանքերը կշարունակվեն, և շահագործման ամբողջական հետաքննությունը կսկսվի: Sovryn-ի թիմը նաև աշխատում է համակարգը լիարժեք ֆունկցիոնալության վերադարձնելու ծրագրի վրա: Այնուամենայնիվ, այն ավելացրել է, որ սպասարկման ռեժիմը կմնա իր տեղում այնքան ժամանակ, քանի դեռ չկա ամբողջական վստահություն համակարգի անվտանգության նկատմամբ: Այն նաև ավելացրել է, որ հետաքննությունը կհրապարակվի նաև հետաքննությունը ավարտվելուն պես:
Հրաժարում. Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված է օգտագործել որպես իրավական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհուրդ:
Աղբյուր՝ https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen