Op Bitcoin gebaseerd gedecentraliseerd financieel protocol Sovryn leed dinsdag aan een grote exploit, waarbij een hacker $ 1.1 miljoen uit het protocol haalde.
De hacker maakte gebruik van een legacy-functie om het protocol leeg te halen, met behulp van een prijsmanipulatietechniek in een van de uitleenpools van het protocol.
Details van de hack
Sovryn publiceerde een blogpost detaillering van de aanval, die specifiek gericht was op het oude Sovryn Borrow/Lend-protocol, dat gevolgen had voor de RBTC- en USDT-leenpools. Door de aanval konden de hackers meer dan $ 1 miljoen aan crypto uit het protocol halen, waaronder ook 211,045 USDT en 44.93 RBTC.
RBTC en USDT zijn gekoppeld aan Bitcoin en de Amerikaanse dollar. In het geval van Sovryn zijn ze gebaseerd op Rootstock (RSK), een zijketen van Bitcoin die is ontworpen om het slimme contract, de gedecentraliseerde applicatie (dApp) en schaalmogelijkheden van de laatste uit te breiden. Het Sovryn-protocol is gebouwd op de RSK-blockchain. Details van de hack werden op Twitter gedeeld door een handvat genaamd @web3isgreat, waarin stond:
"Het op bitcoins gebaseerde DeFi-protocol Sovryn verloor $ 1 miljoen door een aanval op prijsmanipulatie. Een uitbuiter was in staat om de legacy-leen- en uitleenfunctionaliteit van het project te gebruiken om kwaadwillig 44.93 RBTC (~$915,000) en 211,045 USDT op te nemen.”
De aanvaller gebruikte ook de AMM-swapfunctie van Sovryn om een deel van het geld op te nemen, wat betekende dat ze verschillende soorten tokens kregen. De blogpost voegde er ook aan toe dat de inspanningen om het geld terug te vorderen nog steeds aan de gang zijn.
“Dankzij de gelaagde beveiligingsaanpak waren ontwikkelaars in staat om geld te identificeren en terug te krijgen terwijl de aanvaller probeerde het geld op te nemen. Op dit moment zijn ontwikkelaars er door een gezamenlijke inspanning in geslaagd om ongeveer de helft van de waarde van de exploit te recupereren.”
Eerste hack door Sovryn
Volgens Sovryn-woordvoerder Edan Yago was de exploit de eerste succesvolle exploitatie van het protocol in de twee jaar dat hij actief was. Hij benadrukte verder dat Sovryn, ondanks de hack, nog steeds een van de zwaarst gecontroleerde DeFi-systemen is, met verschillende actieve bug-bounties. De exploit manipuleerde de iToken-prijs van Sovyrn, dit zijn rentedragende tokens die het aandeel crypto vertegenwoordigen dat door een gebruiker in een uitleenpool wordt gehouden.
Hoe de exploit werkte
De hacker kocht eerst WRBTC (Wrapped RBTC) via een flash-swap op RskSwap. Hierna leende de hacker WRBTC van het uitleencontract van Sovryn, waarbij hij zijn eigen XUSD als onderpand gebruikte. De blogpost nader uitgewerkt,
"De aanvaller verstrekte vervolgens liquiditeit aan het RBTC-leencontract, sloot hun lening af met een swap met behulp van hun XUSD-onderpand, verzilverde (verbrandde) hun iRBTC-token en stuurde de WRBTC terug naar RskSwap om de flash-swap te voltooien."
Dit proces hielp de hacker om de iToken-prijs te manipuleren, waardoor ze meer RBTC uit de beoogde leenpool konden opnemen dan aanvankelijk was gestort. Sovryn verklaarde echter dat de hack op geen enkele manier invloed had op het geld van gebruikers en dat eventuele ontbrekende waarde van de leenpools zal worden gecompenseerd via de schatkist van Sovryn.
Wat nu?
Sovryn ook licht werpen op hoe het protocol het probleem in de toekomst zal behandelen. In de blogpost verklaarde het bedrijf dat de inspanningen om activa van de hacker te herstellen zouden worden voortgezet en dat er een volledig onderzoek naar de exploit zou worden gestart. Het team van Sovryn werkt ook aan een plan om het systeem weer volledig te laten functioneren. Het voegde er echter aan toe dat de onderhoudsmodus zou blijven bestaan totdat er volledig vertrouwen is in de systeemveiligheid. Het voegde er ook aan toe dat er ook een post-mortem rapport zou worden gepubliceerd zodra het onderzoek is voltooid.
Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen