Биткойн дээр суурилсан төвлөрсөн бус санхүүгийн протокол Соврин мягмар гарагт томоохон мөлжлөгт өртөж, хакер протоколоос 1.1 сая ам.доллар зарцуулжээ.
Хакер нь протоколын зээлийн сангуудын нэгэнд үнийг удирдах аргыг ашиглан протоколыг устгахын тулд хуучин функцийг ашигласан.
Хакийн талаархи дэлгэрэнгүй мэдээлэл
Соврын хэвлэгдсэн a блог дараах RBTC болон USDT зээлийн санд нөлөөлсөн Sovryn Borrow/Lend протоколыг тусгайлан чиглүүлсэн халдлагын талаар дэлгэрэнгүй тайлбарлав. Энэхүү халдлага нь хакеруудад 1 USDT болон 211,045 RBTC орсон протоколоос 44.93 сая гаруй долларын үнэ бүхий криптографийг гадагшлуулах боломжийг олгосон юм.
RBTC болон USDT нь Bitcoin болон АНУ-ын доллартай холбоотой байдаг. Sovryn-ийн хувьд эдгээр нь Bitcoin-ийн хажуугийн сүлжээ болох Rootstock (RSK) дээр суурилдаг бөгөөд энэ нь сүүлийн үеийн ухаалаг гэрээ, төвлөрсөн бус програм (dApp) болон өргөтгөх чадварыг өргөжүүлэх зорилготой юм. Соврын протокол нь RSK блокчейн дээр бүтээгдсэн. Энэхүү хакердалтын талаарх дэлгэрэнгүй мэдээллийг @web3isgreat нэртэй бариул Твиттер хуудаснаа хуваалцсан бөгөөд үүнд:
“Bitcoin-д суурилсан DeFi протокол болох Соврин нь үнийг өөрчлөх халдлагын улмаас 1 сая доллар алдсан. Мөлжигч 44.93 RBTC (~$915,000) болон 211,045 USDT-г хорлонтойгоор эргүүлэн татахын тулд төслийн өв залгамжлал, зээлэх функцийг ашиглаж чадсан."
Халдагчид мөн Соврын AMM своп функцийг ашиглан зарим хөрөнгийг эргүүлэн татсан бөгөөд энэ нь тэд хэд хэдэн төрлийн жетонтой болсон гэсэн үг юм. Блогын нийтлэлд мөн хөрөнгийг эргүүлэн авах хүчин чармайлт үргэлжилсээр байгааг нэмж хэлэв.
“Аюулгүй байдлын олон давхаргат арга барилын ачаар халдагчид мөнгөө эргүүлэн татах гэж оролдох үед хөгжүүлэгчид хөрөнгийг олж илрүүлж, сэргээх боломжтой болсон. Энэ үед хөгжүүлэгчид хамтын хүчин чармайлтаар ашиглалтын үнэ цэнийн тал орчим хувийг сэргээж чадсан."
Соврын анх удаа хакерджээ
Соврын хэвлэлийн төлөөлөгч Эдан Ягогийн хэлснээр, энэхүү мөлжлөг нь хоёр жилийн турш үйл ажиллагаагаа явуулж буй протоколын анхны амжилттай ашиглалт байсан юм. Тэрээр цааш нь хэлэхдээ, Соврын хэдийгээр хакердсан ч гэсэн хэд хэдэн идэвхтэй алдааны урамшуулал бүхий DeFi системүүдийн нэг хэвээр байна. Энэхүү мөлжлөг нь Sovyrn-ийн iToken-ийн үнийг өөрчилсөн бөгөөд энэ нь зээлийн санд байгаа хэрэглэгчийн эзэмшиж буй криптогийн хувийг төлөөлөх хүүтэй жетон юм.
Exploit хэрхэн ажилласан
Хакер эхлээд RskSwap дээрх флаш свопоор дамжуулан WRBTC (Wrapped RBTC) худалдаж авсан. Үүний дараа хакер өөрийн XUSD-ийг барьцаа болгон Соврын зээлийн гэрээнээс WRBTC зээлж авсан. Блогын нийтлэлд илүү нарийвчилсан,
"Дараа нь халдагч RBTC зээлийн гэрээг хөрвөх чадвараар хангаж, XUSD барьцаа хөрөнгөө ашиглан своп хэлцлээр зээлээ хааж, iRBTC жетоноо эргүүлэн авч (шатаах) ба WRBTC-г RskSwap руу буцааж флаш своп руу илгээсэн."
Энэ үйл явц нь хакерт iToken-ийн үнийг удирдахад тусалж, зорилтот зээлийн сангаас анх байршуулснаас илүү олон RBTC авах боломжийг олгосон. Гэсэн хэдий ч Соврын энэхүү хакерт ажиллагаа нь хэрэглэгчийн санд ямар нэгэн байдлаар нөлөөлөөгүй бөгөөд зээлийн сангаас алдагдсан үнэ цэнийг Соврын сангаас нөхөн төлнө гэж мэдэгдэв.
Дараагийн алхам юу?
Соврын Протокол цаашид асуудлыг хэрхэн шийдвэрлэх талаар мөн тодруулсан. Блогын нийтлэлдээ тус компани хакераас эд хөрөнгийг олж авах хүчин чармайлтаа үргэлжлүүлж, мөлжлөгт бүрэн мөрдөн байцаалтын ажиллагаа явуулна гэж мэдэгджээ. Соврын багийнхан мөн системийг бүрэн ажиллагаатай болгох төлөвлөгөөг боловсруулж байна. Гэсэн хэдий ч системийн аюулгүй байдалд бүрэн итгэх хүртэл засвар үйлчилгээний горим хэвээр байх болно гэж нэмж хэлэв. Мөрдөн байцаалтын ажиллагаа дууссаны дараа үхлийн дараах тайланг мөн нийтлэх болно гэж нэмж хэлэв.
Анхааруулга: Энэ нийтлэлийг зөвхөн мэдээллийн зорилгоор оруулсан болно. Энэ нь хууль эрх зүй, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглагдаагүй эсвэл ашиглахыг зорьсонгүй.
Эх сурвалж: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen