Sovryn โปรโตคอลการเงินแบบกระจายอำนาจที่ใช้ Bitcoin ประสบกับช่องโหว่ครั้งใหญ่เมื่อวันอังคาร โดยแฮ็กเกอร์รายหนึ่งใช้เงิน 1.1 ล้านดอลลาร์จากโปรโตคอล
แฮ็กเกอร์ใช้ประโยชน์จากฟังก์ชันเดิมเพื่อระบายโปรโตคอล โดยใช้เทคนิคการปรับราคาในกลุ่มการให้ยืมของโปรโตคอล
รายละเอียดของ Hack
Sovryn เผยแพร่ a โพสต์บล็อก รายละเอียดของการโจมตี ซึ่งกำหนดเป้าหมายเฉพาะโปรโตคอล Sovryn Borrow/Lend แบบเดิม ซึ่งส่งผลกระทบต่อกลุ่มการให้กู้ยืม RBTC และ USDT การโจมตีดังกล่าวทำให้แฮกเกอร์สามารถระบาย crypto มูลค่ากว่า 1 ล้านเหรียญจากโปรโตคอล ซึ่งรวมถึง 211,045 USDT และ 44.93 RBTC
RBTC และ USDT เชื่อมโยงกับ Bitcoin และดอลลาร์สหรัฐ ในกรณีของ Sovryn พวกเขาใช้ Rootstock (RSK) ซึ่งเป็น sidechain ของ Bitcoin ซึ่งออกแบบมาเพื่อขยายสัญญาอัจฉริยะของรุ่นหลัง แอพพลิเคชั่นกระจายอำนาจ (dApp) และความสามารถในการปรับขนาด โปรโตคอล Sovryn สร้างขึ้นบนบล็อคเชน RSK รายละเอียดของแฮ็กถูกแชร์บน Twitter โดยแฮนเดิลชื่อ @web3isgreat ซึ่งระบุว่า
“โปรโตคอล DeFi ที่ใช้ Bitcoin อย่าง Sovryn สูญเสียเงิน 1 ล้านดอลลาร์จากการโจมตีเพื่อบิดเบือนราคา ผู้บุกรุกสามารถใช้โครงการเดิมของโครงการยืมและยืมฟังก์ชันเพื่อถอน 44.93 RBTC (~ $915,000) และ 211,045 USDT อย่างมีเจตนา”
ผู้โจมตียังใช้ฟังก์ชันสลับ AMM ของ Sovryn เพื่อถอนเงินบางส่วน ซึ่งหมายความว่าพวกเขาลงเอยด้วยโทเค็นหลายประเภท บล็อกโพสต์ยังเสริมว่าความพยายามในการกู้เงินยังคงดำเนินต่อไป
“ด้วยวิธีการรักษาความปลอดภัยแบบหลายชั้น ผู้พัฒนาสามารถระบุและกู้คืนเงินได้ในขณะที่ผู้โจมตีพยายามถอนเงิน ณ จุดนี้ ด้วยความพยายามร่วมกัน ผู้พัฒนาสามารถกู้คืนมูลค่าของการใช้ประโยชน์ได้ประมาณครึ่งหนึ่ง”
แฮ็คครั้งแรกที่ประสบโดย Sovryn
ตามที่โฆษกของ Sovryn Edan Yago การหาประโยชน์ดังกล่าวถือเป็นการใช้ประโยชน์จากโปรโตคอลที่ประสบความสำเร็จเป็นครั้งแรกในช่วงสองปีของการดำเนินงาน เขาเน้นย้ำว่า แม้ว่า Sovryn จะถูกแฮ็ก แต่ก็ยังคงเป็นหนึ่งในระบบ DeFi ที่ได้รับการตรวจสอบอย่างเข้มงวดที่สุด โดยมีค่าหัวจากบักหลายตัวที่ทำงานอยู่ การเอารัดเอาเปรียบได้ควบคุมราคา iToken ของ Sovyrn ซึ่งเป็นโทเค็นที่มีดอกเบี้ยซึ่งแสดงถึงส่วนแบ่งของ crypto ที่ถือโดยผู้ใช้ในกลุ่มการให้ยืม
การเอารัดเอาเปรียบทำงานอย่างไร
แฮ็กเกอร์ซื้อ WRBTC (Wrapped RBTC) เป็นครั้งแรกผ่านการแลกเปลี่ยนแฟลชบน RskSwap หลังจากนี้ แฮ็กเกอร์ยืม WRBTC จากสัญญาการให้ยืมของ Sovryn โดยใช้ XUSD ของตนเองเป็นหลักประกัน โพสต์บล็อกอธิบายเพิ่มเติมว่า
“จากนั้นผู้โจมตีก็จัดหาสภาพคล่องให้กับสัญญาการให้ยืม RBTC ปิดเงินกู้ด้วยการแลกเปลี่ยนโดยใช้หลักประกัน XUSD ไถ่ถอน (เผา) โทเค็น iRBTC ของพวกเขา และส่ง WRBTC กลับไปที่ RskSwap เพื่อทำการแลกเปลี่ยนแฟลช”
กระบวนการนี้ช่วยให้แฮ็กเกอร์จัดการราคา iToken ได้ ทำให้พวกเขาสามารถถอน RBTC ออกจากกลุ่มเงินกู้เป้าหมายได้มากกว่าที่ฝากไว้ในตอนแรก อย่างไรก็ตาม Sovryn ระบุว่าการแฮ็กไม่ได้ส่งผลกระทบต่อเงินทุนของผู้ใช้แต่อย่างใด และมูลค่าที่ขาดหายไปจากแหล่งเงินกู้จะได้รับการชดเชยผ่านคลัง Sovryn
ทำอะไรต่อไป?
ซอฟริน ยังให้ความกระจ่างว่าโปรโตคอลจะจัดการกับปัญหาอย่างไรในอนาคต ในบล็อกโพสต์ บริษัทระบุว่าความพยายามในการกู้คืนทรัพย์สินจากแฮ็กเกอร์จะดำเนินต่อไป และจะมีการสอบสวนอย่างเต็มรูปแบบเกี่ยวกับการหาช่องโหว่ ทีมงานที่ Sovryn กำลังทำงานในแผนการที่จะคืนระบบให้ใช้งานได้เต็มรูปแบบ อย่างไรก็ตาม มันเสริมว่าโหมดการบำรุงรักษาจะยังคงอยู่จนกว่าจะมีความมั่นใจอย่างสมบูรณ์ในความปลอดภัยของระบบ นอกจากนี้ยังเสริมว่าจะมีการตีพิมพ์รายงานชันสูตรพลิกศพเมื่อการสอบสวนเสร็จสิ้น
ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้นำเสนอหรือมีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรืออื่น ๆ
ที่มา: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen