Protocol DeFi Sovryn yn Dioddef Camfanteisio, $1.1 miliwn wedi'i ddwyn

Protocol cyllid datganoledig yn seiliedig ar Bitcoin Dioddefodd Sovryn ecsbloetio mawr ddydd Mawrth, gyda haciwr yn draenio $1.1 miliwn o'r protocol. 

Defnyddiodd yr haciwr swyddogaeth etifeddiaeth i ddraenio'r protocol, gan ddefnyddio techneg trin prisiau yn un o gronfeydd benthyca'r protocol. 

Manylion Yr Hac

Cyhoeddodd Sovryn a post blog yn manylu ar yr ymosodiad, a dargedodd y protocol Sovryn Borrow/Lend etifeddiaeth yn benodol, a effeithiodd ar gronfeydd benthyca RBTC a USDT. Caniataodd yr ymosodiad i'r hacwyr ddraenio gwerth dros $1 miliwn o crypto o'r protocol, a oedd hefyd yn cynnwys 211,045 USDT a 44.93 RBTC. 

Mae RBTC ac USDT wedi'u pegio i Bitcoin a Doler yr UD. Yn achos Sovryn, maent yn seiliedig ar Rootstock (RSK), cadwyn ochr o Bitcoin sydd wedi'i gynllunio i ehangu contract smart yr olaf, cymhwysiad datganoledig (dApp), a galluoedd graddio. Mae protocol Sovryn wedi'i adeiladu ar y blockchain RSK. Rhannwyd manylion yr hac ar Twitter gan ddolen o'r enw @web3isgreat, a ddywedodd, 

“Collodd protocol DeFi ar sail Bitcoin, Sovryn, $1 miliwn i ymosodiad trin prisiau. Roedd ecsbloetiwr yn gallu defnyddio ymarferoldeb benthyca a benthyca etifeddiaeth y prosiect i dynnu 44.93 RBTC (~ $915,000) a 211,045 USDT yn ôl yn faleisus.”

Defnyddiodd yr ymosodwr hefyd swyddogaeth cyfnewid AMM Sovryn i dynnu rhywfaint o'r arian yn ôl, a oedd yn golygu eu bod yn y diwedd gyda sawl math gwahanol o docynnau. Ychwanegodd y blogbost hefyd fod yr ymdrechion i adennill yr arian yn parhau. 

“Oherwydd y dull diogelwch aml-haenog a ddefnyddiwyd, roedd devs yn gallu nodi ac adennill arian gan fod yr ymosodwr yn ceisio tynnu'r arian yn ôl. Ar y pwynt hwn, trwy ymdrech gyfunol, mae devs wedi llwyddo i adennill tua hanner gwerth y camfanteisio.”

Hac Cyntaf a Ddioddefwyd Gan Sovryn 

Yn ôl llefarydd ar ran Sovryn, Edan Yago, y camfanteisio oedd camfanteisio llwyddiannus cyntaf erioed y protocol yn ei ddwy flynedd o weithredu. Aeth ymlaen i bwysleisio bod Sovryn, er gwaethaf y darnia, yn parhau i fod yn un o'r systemau DeFi sy'n cael ei archwilio fwyaf, gyda nifer o bounties byg gweithredol. Roedd y camfanteisio yn trin pris iToken Sovyrn, sef tocynnau llog sy'n cynrychioli'r gyfran o crypto a ddelir gan ddefnyddiwr mewn cronfa fenthyca. 

Sut Gweithiodd The Exploit 

Prynodd yr haciwr WRBTC (RBTC wedi'i lapio) gyntaf trwy gyfnewid fflach ar RskSwap. Ar ôl hyn, benthycodd yr haciwr WRBTC o gontract benthyca Sovryn, gan ddefnyddio eu XUSD eu hunain fel cyfochrog. Ymhelaethodd y blog ymhellach, 

“Yna darparodd yr ymosodwr hylifedd i gontract benthyca RBTC, cau eu benthyciad gyda chyfnewid gan ddefnyddio eu cyfochrog XUSD, adbrynu (llosgi) eu tocyn iRBTC, ac anfon y WRBTC yn ôl i RskSwap i gwblhau’r cyfnewid fflach.”

Helpodd y broses hon yr haciwr i drin y pris iToken, gan ganiatáu iddynt dynnu mwy o RBTC o'r pwll benthyca wedi'i dargedu nag a adneuwyd yn wreiddiol. Fodd bynnag, dywedodd Sovryn nad oedd yr hac yn effeithio ar gronfeydd defnyddwyr mewn unrhyw ffordd ac y byddai unrhyw werth coll o'r cronfeydd benthyca yn cael ei ddigolledu trwy drysorlys Sovryn. 

Beth Nesaf? 

Sovryn hefyd yn taflu goleuni ar sut y bydd y protocol yn ymdrin â'r mater wrth symud ymlaen. Yn y blogbost, dywedodd y cwmni y byddai ymdrechion i adennill asedau gan yr haciwr yn parhau, ac y byddai ymchwiliad llawn i'r camfanteisio yn cael ei lansio. Mae'r tîm yn Sovryn hefyd yn gweithio ar gynllun i ddychwelyd y system i swyddogaeth lawn. Fodd bynnag, ychwanegodd y byddai'r modd cynnal a chadw yn aros yn ei le nes bod hyder llwyr yn niogelwch y system. Ychwanegodd hefyd y byddai adroddiad post-mortem hefyd yn cael ei gyhoeddi unwaith y bydd yr ymchwiliad wedi'i gwblhau.

Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.