عانى بروتوكول التمويل اللامركزي القائم على البيتكوين ، سوفرين ، من استغلال كبير يوم الثلاثاء ، حيث استنفد أحد المتطفلين 1.1 مليون دولار من البروتوكول.
استغل المخترق وظيفة قديمة لاستنزاف البروتوكول ، باستخدام تقنية التلاعب بالأسعار في إحدى مجموعات الإقراض الخاصة بالبروتوكول.
تفاصيل هاك
نشر سوفرين أ بلوق وظيفة يشرح بالتفصيل الهجوم ، الذي استهدف على وجه التحديد بروتوكول Sovryn Borrow / Lend القديم ، والذي أثر على مجموعتي إقراض RBTC و USDT. سمح الهجوم للمتسللين باستنزاف أكثر من مليون دولار من التشفير من البروتوكول ، والذي تضمن أيضًا 1،211,045 USDT و 44.93 RBTC.
RBTC و USDT مرتبطان بعملة البيتكوين والدولار الأمريكي. في حالة Sovryn ، فهي تستند إلى Rootstock (RSK) ، وهي سلسلة جانبية من Bitcoin مصممة لتوسيع العقد الذكي للأخير ، والتطبيق اللامركزي (dApp) ، وقدرات التوسع. تم بناء بروتوكول Sovryn على blockchain RSK. تمت مشاركة تفاصيل الاختراق على Twitter بواسطة معالج يسمى @ web3isgreat ، والذي ذكر ،
"بروتوكول DeFi القائم على Bitcoin ، Sovryn ، خسر مليون دولار لهجوم التلاعب بالأسعار. تمكن أحد المستغلين من استخدام وظائف الإقراض والاقتراض القديمة للمشروع لسحب 1 RBTC (حوالي 44.93 دولار أمريكي) و 915,000،211,045 دولارًا أمريكيًا بشكل ضار ".
استخدم المهاجم أيضًا وظيفة مقايضة AMM في Sovryn لسحب بعض الأموال ، مما يعني أنه انتهى بهم الأمر بعدة أنواع مختلفة من الرموز. وأضاف منشور المدونة أيضًا أن الجهود المبذولة لاسترداد الأموال لا تزال جارية.
"نظرًا للنهج الأمني متعدد الطبقات المتبع ، تمكن المطورون من تحديد الأموال واستردادها حيث كان المهاجم يحاول سحب الأموال. في هذه المرحلة ، ومن خلال جهد مشترك ، تمكن المطورون من استرداد حوالي نصف قيمة برمجيات إكسبلويت ".
عانى هاك الأول من قبل سوفرين
وفقًا للمتحدث باسم Sovryn Edan Yago ، كان هذا الثغرة أول استغلال ناجح للبروتوكول في عامين من العمليات. ومضى في التأكيد على أن Sovryn ، على الرغم من الاختراق ، لا يزال أحد أكثر أنظمة DeFi تدقيقًا ، مع العديد من مكافآت الأخطاء النشطة. تلاعب الاستغلال بسعر iToken الخاص بـ Sovyrn ، وهو عبارة عن رموز تحمل فائدة تمثل حصة العملة المشفرة التي يحتفظ بها المستخدم في مجموعة الإقراض.
كيف عمل إكسبلويت
اشترى المخترق أولاً WRBTC (ملفوفة RBTC) من خلال مبادلة فلاش على RskSwap. بعد ذلك ، استعار المخترق WRBTC من عقد إقراض Sovryn ، مستخدمًا XUSD الخاص به كضمان. تم تفصيل مشاركة المدونة ،
"قام المهاجم بعد ذلك بتوفير السيولة لعقد إقراض RBTC ، وأغلق قرضه بمقايضة باستخدام ضمان XUSD ، واسترد (حرق) رمز iRBTC الخاص به ، وأرسل WRBTC مرة أخرى إلى RskSwap لإكمال مقايضة الفلاش."
ساعدت هذه العملية المتسلل على التلاعب بسعر iToken ، مما سمح له بسحب RBTC من مجموعة الإقراض المستهدفة أكثر مما تم إيداعه في البداية. ومع ذلك ، صرح Sovryn أن الاختراق لم يؤثر على أموال المستخدمين بأي شكل من الأشكال وأن أي قيمة مفقودة من مجمعات الإقراض سيتم تعويضها من خلال خزانة Sovryn.
وماذا بعد؟
سوفرين إلقاء الضوء أيضًا على كيفية تعامل البروتوكول مع المشكلة من الآن فصاعدًا. في منشور المدونة ، ذكرت الشركة أن الجهود لاستعادة الأصول من المتسلل ستستمر ، وسيتم فتح تحقيق كامل في الاستغلال. يعمل الفريق في Sovryn أيضًا على خطة لإعادة النظام إلى الوظائف الكاملة. ومع ذلك ، أضاف أن وضع الصيانة سيظل في مكانه حتى تكون هناك ثقة كاملة في سلامة النظام. وأضافت أنه سيتم أيضًا نشر تقرير التشريح بمجرد اكتمال التحقيق.
إخلاء المسؤولية: يتم توفير هذه المقالة لأغراض إعلامية فقط. لم يتم تقديمه أو الغرض منه استخدامه كنصائح قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen