Das Bitcoin-basierte dezentrale Finanzprotokoll Sovryn erlitt am Dienstag einen großen Exploit, bei dem ein Hacker 1.1 Millionen Dollar aus dem Protokoll abzog.
Der Hacker nutzte eine veraltete Funktion aus, um das Protokoll zu entleeren, indem er eine Preismanipulationstechnik in einem der Kreditpools des Protokolls verwendete.
Details zum Hack
Sovryn veröffentlichte a Blog-Post Einzelheiten des Angriffs, der speziell auf das alte Sovryn Borrow/Lend-Protokoll abzielte, das sich auf die Kreditpools von RBTC und USDT auswirkte. Der Angriff ermöglichte es den Hackern, Krypto im Wert von über 1 Million Dollar aus dem Protokoll zu ziehen, das auch 211,045 USDT und 44.93 RBTC beinhaltete.
RBTC und USDT sind an Bitcoin und den US-Dollar gekoppelt. Im Fall von Sovryn basieren sie auf Rootstock (RSK), einer Sidechain von Bitcoin, die darauf ausgelegt ist, dessen Smart Contract, dezentrale Anwendung (dApp) und Skalierungsmöglichkeiten zu erweitern. Das Sovryn-Protokoll basiert auf der RSK-Blockchain. Details des Hacks wurden auf Twitter von einem Handle namens @web3isgreat geteilt, der erklärte:
„Das Bitcoin-basierte DeFi-Protokoll Sovryn verlor 1 Million Dollar durch einen Preismanipulationsangriff. Ein Exploiter war in der Lage, die alte Leih- und Leihfunktion des Projekts zu nutzen, um böswillig 44.93 RBTC (~915,000 $) und 211,045 USDT abzuheben.“
Der Angreifer nutzte auch die AMM-Swap-Funktion von Sovryn, um einen Teil der Gelder abzuheben, was bedeutete, dass er am Ende mehrere verschiedene Arten von Token hatte. Der Blogbeitrag fügte auch hinzu, dass die Bemühungen zur Rückforderung der Gelder noch andauern.
„Aufgrund des mehrschichtigen Sicherheitsansatzes konnten Entwickler Gelder identifizieren und zurückgewinnen, als der Angreifer versuchte, die Gelder abzuheben. An diesem Punkt haben es die Entwickler durch gemeinsame Anstrengungen geschafft, etwa die Hälfte des Wertes des Exploits zurückzugewinnen.“
Erster Hack von Sovryn erlitten
Laut Sovryn-Sprecher Edan Yago war der Exploit der erste erfolgreiche Exploit des Protokolls in den zwei Jahren seines Bestehens. Er betonte weiter, dass Sovryn trotz des Hacks eines der am stärksten geprüften DeFi-Systeme mit mehreren aktiven Bug-Prämien bleibt. Der Exploit manipulierte den iToken-Preis von Sovyrn, bei dem es sich um verzinsliche Token handelt, die den Anteil an Krypto darstellen, der von einem Benutzer in einem Kreditpool gehalten wird.
Wie der Exploit funktionierte
Der Hacker kaufte zuerst WRBTC (Wrapped RBTC) über einen Flash-Swap auf RskSwap. Danach lieh sich der Hacker WRBTC aus Sovryns Leihvertrag aus und verwendete seinen eigenen XUSD als Sicherheit. Der Blogbeitrag weiter ausgearbeitet,
„Der Angreifer stellte dann dem RBTC-Kreditvertrag Liquidität zur Verfügung, schloss sein Darlehen mit einem Swap unter Verwendung seiner XUSD-Sicherheiten ab, löste (verbrannte) sein iRBTC-Token ein und schickte das WRBTC zurück an RskSwap, um den Flash-Swap abzuschließen.“
Dieser Prozess half dem Hacker, den iToken-Preis zu manipulieren, was es ihm ermöglichte, mehr RBTC aus dem gezielten Kreditpool abzuheben, als ursprünglich eingezahlt wurde. Sovryn erklärte jedoch, dass der Hack die Gelder der Benutzer in keiner Weise beeinträchtigt habe und dass jeder fehlende Wert aus den Kreditpools durch die Staatskasse von Sovryn kompensiert werde.
Was kommt als Nächstes?
sovryn auch Aufschluss darüber geben, wie das Protokoll das Problem in Zukunft handhaben wird. In dem Blogbeitrag erklärte das Unternehmen, dass die Bemühungen zur Wiederherstellung von Vermögenswerten des Hackers fortgesetzt und eine vollständige Untersuchung des Exploits eingeleitet werde. Das Team von Sovryn arbeitet auch an einem Plan, um das System wieder voll funktionsfähig zu machen. Es fügte jedoch hinzu, dass der Wartungsmodus bestehen bleiben würde, bis vollständiges Vertrauen in die Systemsicherheit besteht. Es fügte auch hinzu, dass nach Abschluss der Untersuchung auch ein Obduktionsbericht veröffentlicht werde.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen