기술

DeFi 프로토콜 Sovryn, 악용, 1.1만 달러 도난

10/06/2022
비트 코인 이더 리움 뉴스

비트코인 기반 분산 금융 프로토콜인 Sovryn은 화요일에 프로토콜에서 1.1만 달러를 빼돌린 해커와 함께 주요 익스플로잇을 겪었습니다. 

해커는 프로토콜의 대출 풀 중 하나에서 가격 조작 기술을 사용하여 프로토콜을 고갈시키기 위해 레거시 기능을 악용했습니다. 

해킹의 세부 사항

Sovryn은 다음과 같이 발표했습니다. 블로그 게시물 특히 RBTC 및 USDT 대출 풀에 영향을 미친 레거시 Sovryn Borrow/Lend 프로토콜을 대상으로 한 공격에 대해 자세히 설명합니다. 이 공격을 통해 해커는 1 USDT 및 211,045 RBTC가 포함된 프로토콜에서 44.93백만 달러 이상의 암호화폐를 유출할 수 있었습니다. 

RBTC와 USDT는 비트코인과 미국 달러에 고정되어 있습니다. Sovryn의 경우 비트코인의 사이드체인인 Rootstock(RSK)을 기반으로 하며 이는 비트코인의 스마트 계약, 분산 애플리케이션(dApp) 및 확장 기능을 확장하도록 설계되었습니다. Sovryn 프로토콜은 RSK 블록체인에 구축됩니다. 해킹에 대한 세부 정보는 Twitter에서 @web3isgreat라는 핸들에 의해 공유되었으며, 다음과 같이 명시되어 있습니다. 

“비트코인 기반 DeFi 프로토콜인 Sovryn은 가격 조작 공격으로 1만 달러를 잃었습니다. 악용자는 프로젝트의 레거시 대출 및 차용 기능을 사용하여 44.93 RBTC(~$915,000) 및 211,045 USDT를 악의적으로 인출할 수 있었습니다.”

공격자는 또한 Sovryn의 AMM 스왑 기능을 사용하여 일부 자금을 인출했는데, 이는 결국 여러 유형의 토큰을 갖게 되었음을 의미합니다. 블로그 게시물은 또한 자금을 회수하기 위한 노력이 여전히 진행 중이라고 덧붙였습니다. 

“다층적인 보안 접근 방식을 취했기 때문에 개발자는 공격자가 자금을 인출하려고 시도할 때 자금을 식별하고 복구할 수 있었습니다. 이 시점에서 개발자들은 공동의 노력을 통해 익스플로잇 가치의 약 절반을 복구할 수 있었습니다.”

Sovryn이 겪은 첫 번째 해킹 

Sovryn의 대변인 Edan Yago에 따르면 이 익스플로잇은 XNUMX년 동안 운영된 프로토콜의 성공적인 익스플로잇이었습니다. 그는 계속해서 Sovryn은 해킹에도 불구하고 몇 가지 활성 버그 현상금과 함께 가장 많이 감사를 받는 DeFi 시스템 중 하나라고 강조했습니다. 이 익스플로잇은 Sovyrn의 iToken 가격을 조작했습니다. 이 토큰은 대출 풀에서 사용자가 보유한 암호화 몫을 나타내는 이자가 붙는 토큰입니다. 

익스플로잇이 작동하는 방식 

해커는 RskSwap에서 플래시 스왑을 통해 WRBTC(래핑된 RBTC)를 처음 구매했습니다. 그 후, 해커는 자신의 XUSD를 담보로 사용하여 Sovryn의 대출 계약에서 WRBTC를 빌렸습니다. 블로그 게시물을 더 자세히 설명하면, 

그런 다음 공격자는 RBTC 대출 계약에 유동성을 제공하고 XUSD 담보를 사용하여 스왑으로 대출을 마감하고 iRBTC 토큰을 상환(소각)하고 WRBTC를 RskSwap으로 보내 플래시 스왑을 완료했습니다.

이 프로세스를 통해 해커는 iToken 가격을 조작하여 대상 대출 풀에서 처음 예치된 것보다 더 많은 RBTC를 인출할 수 있었습니다. 그러나 Sovryn은 해킹이 사용자 자금에 어떤 식으로든 영향을 미치지 않았으며 대출 풀에서 누락된 가치는 Sovryn 재무부를 통해 보상될 것이라고 말했습니다. 

다음 무엇입니까? 

소브린 또한 프로토콜이 앞으로 문제를 처리하는 방법에 대해 설명합니다. 블로그 게시물에서 회사는 해커로부터 자산을 복구하기 위한 노력이 계속될 것이며 익스플로잇에 대한 전면적인 조사가 시작될 것이라고 밝혔습니다. Sovryn의 팀은 또한 시스템을 완전한 기능으로 되돌리기 위한 계획을 세우고 있습니다. 그러나 시스템 안전에 대한 완전한 확신이 있을 때까지 유지보수 모드가 유지될 것이라고 덧붙였습니다. 또한 조사가 완료되면 부검 보고서도 발표할 것이라고 덧붙였다.

면책 조항 :이 문서는 정보 제공 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 제공되거나 사용되도록 의도되지 않았습니다. 

출처: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen