پروتکل سوورین (Sovryn) درگیر هک 1 میلیون دلاری شد

به گزارش واحد ترجمه گذارنیوز، سوورین (Sovryn)  یک پروتکل دیفای مبتنی بر بیت کوین است که روز سه شنبه، با استفاده از یک روش دستکاری قیمت هک شد و بیش از 1 میلیون دلار از وجوه خود را از دست داد. این حمله به مجرم اجازه داد تا تعداد 44.93 از توکن RBTC و 211 هزار استیبل‌کوین تتر (USDT) به ارزش بیش از 1 میلیون دلار را از پروتکل خارج کند. قابل ذکر است که به گفته تیم‌ توسعه دهنده این پروتکل، تمام وجوه هک شده از خزانه داری سوورین به حساب کاربران منتقل خواهد شد.

اولین مورد از هک شدن سوورین

بر اساس پست منتشر شده در وبلاگ رسمی سوورین، این حملات به طور خاص پروتکل وام دهی و وام گیری (Borrow/Lend) قدیمی سوورین را هدف قرار داده است. این اقدام بر استخرهای وام دهی RBTC و USDT تأثیر گذاشت.

RBTC و USDT دارایی‌های دیجیتالی هستند که به قیمت آن‌ها به ترتیب با بیت کوین و دلار آمریکا مرتبط هستند. در این مورد، آنها بر روی روت اِستاک  (Rootstock – RSK)، یک شبکه جانبی بیت ‌کوین که به منظور گسترش قابلیت‌های مقیاس‌پذیری، قرارداد هوشمند و امنیت بیت‌ کوین است، پشتیبانی می‌شوند. سوورین یک پروتکل دیفای ساخته شده بر روی RSK است.

ظاهراً برخی از وجوه موجود در این پروتکل با استفاده از تابع مبادله بازارساز خودکار سوورین برداشته شده است؛ به این معنی که مهاجم با برداشت چندین توکن مختلف کار خود را به پایان رساند. تلاش برای بازیابی وجوه هنوز ادامه دارد.

در پست وبلاگ رسمی این پروتکل آمده است:

“مهاجم در تلاش برای برداشت وجوه بود، اما با توجه به رویکرد امنیتی چندلایه اتخاذ شده، توسعه دهندگان توانستند وجوه هک شده را شناسایی و بازیابی کنند. این تیم، با تلاشی که از چندین مسیر انجام شده بود، توانسته‌اند حدود نیمی از مقادیر از دست رفته را بازیابی کنند.”

اِدان یاگو (Edan Yago)، سخنگوی سوورین گفت که این اولین سوء استفاده موفق در برابر این پروتکل، پس از دو سال است. او اظهار داشت که پروتکل سوورین “یکی از سیستم‌های دیفای است که به شدت مورد بازرسی قرار گرفته‌ است”. این اتفاق با تشویق توسعه دهندگان با استفاده از ارائه پاداش‌های ارزشمند برای یافتن باگ‌های پلتفرم رخ داده است.

این هک با دستکاری قیمت آی توکن (iToken) که توکن‌های نشان‌دهنده سهم یک کاربر از ارز دیجیتال خاص در یک استخر وام‌دهی است، اتفاق افتاده است. قیمت این توکن، هر بار که شرایط استخر وام دهی بسته به میزان نقدینگی تغییر می‌کند، به روز می‌شود.

چگونگی انجام هک

ابتدا، مهاجم WRBTC (یا رَپد RBTC) را با استفاده از سواپ فلش در RskSwap خریداری کرد. سپس، WRBTC اضافی را از قرارداد وام سوورین با استفاده از XUSD (یکی دیگر از انوع استیبل کوین‌ها) به عنوان وثیقه قرض گرفت. در پست مذکور در مورد چگونگی این اتفاق این طور بحث شده است:

“مهاجم نقدینگی را به قرارداد وام RBTC ارائه کرده، وام خود را با سوآپ، با استفاده از وثیقه XUSD خود منحل و سپس توکن iRBTC خود را بازخرید (سوزاند) و WRBTC را برای تکمیل مبادله فلش به RskSwap فرستاد.”

کل این فرآیند قیمت iToken را به گونه‌ای تغییر داد که مهاجم می‌توانست مقدار بیشتری از RBTC را از مبلغی که در ابتدا سپرده شده بود، برداشت کند.

سوورین تصریح کرد که وجوه کاربران تحت تأثیر این هک قرار نگرفته است. هر گونه دارایی گمشده از استخرهای وام‌دهی مجدداً توسط خزانه (خزانه خود پلتفرم سوورین) به استخر تزریق می‌شود.

مترجم: محمدامین علی‌زاده

منبع: CryptoPotato