Sovryn โดนแฮกเกอร์โจมตีและขโมย RBTC ไปกว่า 44 เหรียญ ด้วยการควบคุมราคาใน lending pool นับเป็นมูลค่ากว่า 1 ล้านดอลลาร์ ซึ่งเกิดขึ้นเมื่อวันที่ 4 ตุลาคมที่ผ่านมา
พวกเขาเป็นแพลตฟอร์มผู้ให้บริการด้านการเงินแบบกระจายอำนาจ (DeFi) โปรโตคอลทำงานบน sidechain ของ Bitcoin ที่เรียกว่า Rootstock Smart Contract (RSK) ซึ่งเป็นแพลตฟอร์มแบบครบวงจรสำหรับบริการทางการเงินแบบกระจายศูนย์ และให้บริการสินเชื่อ ยืม ซื้อขาย staking และ yield farming
เพื่อควบคุมโปรโตคอล ทางแพลตฟอร์มได้เปิดตัวโทเค็น SOV ผู้ถือโทเค็น SOV สามารถเข้าร่วมใน Bitocracy ของโปรโตคอลได้โดยการ stake โทเค็นของตนบนแพลตฟอร์ม
การ stake ให้สิทธิ์การออกเสียงแก่พวกเขาและเสนอการมีส่วนร่วมในรางวัล อย่างไรก็ตาม ผู้ใช้งานไม่จำเป็นต้องใช้โทเค็น SOV เพื่อใช้บริการของแพลตฟอร์ม
Sovryn โดนแฮกเป็นครั้งแรก
ตามบล็อกโพสต์ของแพลตฟอร์ม การโจมตีมุ่งเป้าไปที่บริการ Borrow/Lend โดยเฉพาะ ซึ่งส่งผลกระทบต่อเหรียญ RBTC และ USDT บนโปรโตคอล
RBTC และ USDT เป็นสินทรัพย์ดิจิทัลที่ผูกกับ Bitcoin และดอลลาร์สหรัฐ ซึ่งอยู่บน Rootstock (RSK) ที่เป็น Bitcoin sidechain ที่มีจุดประสงค์เพื่อขยายสัญญาอัจฉริยะ dapp และความสามารถในการปรับขนาด
ในการโจมตีนี้ เงินบางส่วนถูกถอนออกโดยใช้ฟังก์ชัน AMM Swap ของแพลตฟอร์ม ซึ่งหมายความว่าผู้โจมตีลงเอยด้วยการโจมตีโทเค็นที่แตกต่างกันหลายตัว อย่างไรก็พวกเขากำลังตามพยายามกอบกู้เงินที่ถูกขโมยคืนมา
“ด้วยวิธีการรักษาความปลอดภัยแบบหลายชั้น ผู้พัฒนาจึงสามารถระบุและกู้คืนเงินได้ในขณะที่ผู้โจมตีพยายามถอนเงิน” ทางแพลตฟอร์มกล่าว “ ณ จุดนี้ด้วยความพยายามร่วมกันของนักพัฒนาทำให้สามารถกู้คืนเงินกลับมาได้ประมาณครึ่งหนึ่ง”
การโจมตีเกิดขึ้นได้อย่างไร
อย่างแรก ผู้โจมตีซื้อ WRBTC หรือ wrapped RBTC โดยใช้ Flash swap ใน RskSwap จากนั้นเขาก็ยืม WRBTC เพิ่มเติมจาก lending contract ของแพลตฟอร์ม โดยใช้ XUSD ซึ่งเป็น stablecoin ของเขาเองเป็นหลักประกัน
ในบล็อกโพสกล่าวว่า “ผู้โจมตีก็จัดหาสภาพคล่องให้กับสัญญาการให้ยืม RBTC ปิดเงินกู้ด้วยการแลกเปลี่ยนโดยใช้หลักประกัน XUSD ไถ่ถอนโทเค็น iRBTC ของพวกเขา และส่ง WRBTC กลับไปที่ RskSwap เพื่อทำการแลกเปลี่ยน Flash Swap”
กระบวนการทั้งหมดคือการควบคุมราคา iToken เพื่อให้ผู้โจมตีสามารถถอน RBTC ออกจาก lending pool ได้มากกว่าที่ฝากครั้งแรก ทางแพลตฟอร์มชี้แจงว่าเงินของผู้ใช้งานไม่ได้รับผลกระทบจากการแฮก ส่วนมูลค่าที่ขาดหายไปจากแหล่งเงินกู้จะถูกฉีดซ้ำโดย Exchequer หรือคลังของโปรโตคอล
Trusted
ข้อจำกัดความรับผิด
ข้อมูลทั้งหมดที่มีอยู่บนเว็บไซต์ของเราเผยแพร่ด้วยเจตนาที่ดีและเป็นไปเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การกระทำใด ๆ ที่ผู้อ่านดำเนินการตามข้อมูลที่พบบนเว็บไซต์ของเราถือเป็นความเสี่ยงของผู้อ่านโดยเฉพาะ
