DeFi Protocol Sovryn Exploit зардап шегеді, $1.1 миллион ұрланған

Биткоин негізіндегі орталықтандырылмаған қаржы протоколы Соврин сейсенбіде үлкен эксплуатацияға ұшырады, хакер хаттамадан 1.1 миллион долларды шығарды. 

Хакер хаттаманың несиелік пулдарының бірінде бағамен манипуляциялау әдісін пайдаланып, хаттаманы өшіру үшін бұрынғы функцияны пайдаланды. 

Хактың мәліметтері

Соврын А блог пост RBTC және USDT несие пулдарына әсер еткен бұрынғы Sovryn Borrow/Lend хаттамасына арнайы бағытталған шабуылдың егжей-тегжейлері. Шабуыл хакерлерге 1 211,045 USDT және 44.93 RBTC кіретін хаттамадан XNUMX миллион доллардан астам криптографияны шығаруға мүмкіндік берді. 

RBTC және USDT Bitcoin және АҚШ долларына байланысты. Соврин жағдайында олар соңғысының смарт келісім-шартын, орталықтандырылмаған қолданбаны (dApp) және масштабтау мүмкіндіктерін кеңейтуге арналған Bitcoin-тің бүйірлік тізбегі - Rootstock (RSK) негізінде жасалған. Соврын хаттамасы RSK блокчейнінде құрастырылған. Бұзушылықтың егжей-тегжейлері Twitter-де @web3isgreat деп аталатын тұтқа арқылы бөлісілді, онда былай делінген: 

«Bitcoin негізіндегі DeFi протоколы, Соврин бағаны манипуляциялау шабуылынан 1 миллион доллар жоғалтты. Эксплуататор 44.93 RBTC (~915,000 211,045 АҚШ доллары) және XNUMX XNUMX USDT сомасын қасақана алу үшін жобаның бұрынғы несиелеу және қарыз алу мүмкіндігін пайдалана алды».

Сондай-ақ шабуылдаушы кейбір қаражатты алу үшін Совриннің AMM своп функциясын пайдаланды, яғни олар бірнеше түрлі белгілермен аяқталды. Блог жазбасында қаражатты қалпына келтіру жұмыстары әлі де жалғасып жатқаны айтылған. 

«Қабылданған көп деңгейлі қауіпсіздік тәсілінің арқасында әзірлеушілер ақшаны анықтап, қалпына келтіре алды, себебі шабуылдаушы қаражатты алып тастауға әрекеттенді. Осы сәтте, бірлескен күш-жігердің арқасында әзірлеушілер эксплуатация құнының жартысына жуығын қалпына келтіре алды ».

Соврын бірінші рет бұзды 

Совриннің баспасөз хатшысы Эдан Ягоның айтуынша, эксплойт екі жыл жұмыс істеген кездегі хаттаманың алғашқы сәтті эксплуатациясы болды. Ол Совриннің бұзылғанына қарамастан, бірнеше белсенді қателік бонустары бар ең ауыр тексерілген DeFi жүйелерінің бірі болып қала беретінін баса айтты. Эксплойт Совырнның iToken бағасын басқарды, бұл пайдаланушы несиелік пулдағы криптоның үлесін білдіретін пайыздық таңбалауыштар. 

Exploit қалай жұмыс істеді 

Хакер алдымен WRBTC (Wrapped RBTC) RskSwap жүйесіндегі флэш-своп арқылы сатып алды. Осыдан кейін хакер WRBTC-ті Совриннің несиелік келісім-шартынан қарызға алып, өздерінің XUSD-ын кепіл ретінде пайдаланады. Блог жазбасы одан әрі толықтырылды, 

«Содан кейін шабуылдаушы RBTC несиелік келісім-шартына өтімділік берді, XUSD кепілін пайдаланып своп арқылы несиесін жауып тастады, iRBTC таңбалауышын өтеді (өртеді) және флэш-свопты аяқтау үшін WRBTC-ті RskSwap-қа қайта жіберді».

Бұл процесс хакерге iToken бағасын басқаруға көмектесті, бұл оларға мақсатты несие пулынан бастапқы депозитке салынғаннан көбірек RBTC алуға мүмкіндік берді. Дегенмен, Соврын бұзу пайдаланушы қаражатына ешқандай әсер етпегенін және несиелік пулдардан кез келген жетіспейтін құн Соврын қазынасы арқылы өтелетінін айтты. 

Қандай Келесі? 

Соврын сонымен қатар хаттаманың мәселені қалай шешетініне де жарық түсіреді. Блог жазбасында компания хакерден активтерді қалпына келтіру жұмыстары жалғасатынын және эксплуатацияға қатысты толық тергеу басталатынын мәлімдеді. Сондай-ақ «Соврын» командасы жүйені толық жұмыс істеуге қайтару жоспарын әзірлеуде. Дегенмен, ол жүйе қауіпсіздігіне толық сенімді болғанша техникалық қызмет көрсету режимі орнында болатынын қосты. Сондай-ақ, ол тергеу аяқталғаннан кейін өлгеннен кейінгі есептің де жарияланатынын айтты.

Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.