Protokol keuangan terdesentralisasi berbasis Bitcoin, Sovryn, mengalami eksploitasi besar pada hari Selasa, dengan seorang peretas menghabiskan $ 1.1 juta dari protokol tersebut.
Peretas mengeksploitasi fungsi warisan untuk menguras protokol, menggunakan teknik manipulasi harga di salah satu kumpulan pinjaman protokol.
Detail Peretasan
Sovryn menerbitkan posting blog merinci serangan tersebut, yang secara khusus menargetkan protokol Sovryn Borrow/Lend lama, yang berdampak pada kumpulan pinjaman RBTC dan USDT. Serangan itu memungkinkan para peretas untuk menguras lebih dari $ 1 juta crypto dari protokol, yang juga termasuk 211,045 USDT dan 44.93 RBTC.
RBTC dan USDT dipatok ke Bitcoin dan Dolar AS. Dalam kasus Sovryn, mereka didasarkan pada Rootstock (RSK), sidechain Bitcoin yang dirancang untuk memperluas kontrak pintar yang terakhir, aplikasi terdesentralisasi (dApp), dan kemampuan penskalaan. Protokol Sovryn dibangun di atas blockchain RSK. Detail peretasan dibagikan di Twitter oleh akun bernama @web3isgreat, yang menyatakan,
“Protokol DeFi berbasis Bitcoin, Sovryn, kehilangan $ 1 juta karena serangan manipulasi harga. Seorang pengeksploitasi dapat menggunakan fungsi pinjaman dan pinjam warisan proyek untuk menarik 44.93 RBTC (~$915,000) dan 211,045 USDT secara jahat.”
Penyerang juga menggunakan fungsi swap AMM Sovryn untuk menarik sebagian dana, yang berarti mereka berakhir dengan beberapa jenis token yang berbeda. Posting blog juga menambahkan bahwa upaya untuk memulihkan dana masih berlangsung.
“Karena pendekatan keamanan berlapis yang diambil, pengembang dapat mengidentifikasi dan memulihkan dana saat penyerang berusaha menarik dana. Pada titik ini, melalui upaya gabungan, para pengembang telah berhasil memulihkan sekitar setengah dari nilai eksploitasi.”
Hack Pertama yang Diderita Sovryn
Menurut juru bicara Sovryn Edan Yago, eksploitasi itu adalah eksploitasi protokol pertama yang berhasil dalam dua tahun operasinya. Dia melanjutkan untuk menekankan bahwa Sovryn, meskipun diretas, tetap menjadi salah satu sistem DeFi yang paling banyak diaudit, dengan beberapa karunia bug aktif. Eksploitasi itu memanipulasi harga iToken Sovyrn, yang merupakan token berbunga yang mewakili bagian kripto yang dipegang oleh pengguna dalam kumpulan pinjaman.
Bagaimana Eksploitasi Bekerja
Peretas pertama kali membeli WRBTC (Wrapped RBTC) melalui flash swap di RskSwap. Setelah ini, peretas meminjam WRBTC dari kontrak pinjaman Sovryn, menggunakan XUSD mereka sendiri sebagai jaminan. Posting blog lebih lanjut diuraikan,
“Penyerang kemudian memberikan likuiditas ke kontrak pinjaman RBTC, menutup pinjaman mereka dengan swap menggunakan jaminan XUSD mereka, menebus (membakar) token iRBTC mereka, dan mengirim WRBTC kembali ke RskSwap untuk menyelesaikan flash swap.”
Proses ini membantu peretas untuk memanipulasi harga iToken, memungkinkan mereka untuk menarik lebih banyak RBTC dari kumpulan pinjaman yang ditargetkan daripada yang disetorkan pada awalnya. Namun, Sovryn menyatakan bahwa peretasan tidak memengaruhi dana pengguna dengan cara apa pun dan bahwa nilai yang hilang dari kumpulan pinjaman akan dikompensasikan melalui perbendaharaan Sovryn.
Bagaimana Selanjutnya?
Sovyn juga menjelaskan bagaimana protokol akan menangani masalah ini ke depan. Dalam posting blog, perusahaan menyatakan bahwa upaya untuk memulihkan aset dari peretas akan berlanjut, dan penyelidikan penuh terhadap eksploitasi akan diluncurkan. Tim di Sovryn juga sedang mengerjakan rencana untuk mengembalikan sistem ke fungsionalitas penuh. Namun, ia menambahkan bahwa mode pemeliharaan akan tetap berlaku sampai ada kepercayaan penuh pada keamanan sistem. Ia juga menambahkan bahwa laporan post-mortem juga akan diterbitkan setelah penyelidikan selesai.
Penafian: Artikel ini disediakan untuk tujuan informasional saja. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen