Sovryn – en Bitcoin-basert desentralisert finansprotokoll – ble tappet for over 1 million dollar i midler på tirsdag ved å bruke en prismanipulasjonsutnyttelse.
Angrepet gjorde det mulig for den skyldige å tømme kryptoverdien på over 1 million dollar fra protokollen, inkludert 44.93 RBTC og 211,045 XNUMX USDT.
Sovryns første hack
Ifølge Sovryn's blogginnlegg Angående dette var angrepene spesifikt rettet mot den eldre Sovryn Borrow/Lend-protokollen. Det påvirket RBTC- og USDT-utlånspoolene.
RBTC og USDT er kryptoaktiva pris knyttet til henholdsvis Bitcoin og amerikanske dollar. I dette tilfellet sirkulerer de på Rootstock (RSK), en Bitcoin-sidekjede ment å utvide Bitcoins smarte kontrakt, Dapp, og skaleringsmuligheter. Sovryn er en Defi-protokoll bygget på RSK.
Noen av midlene ble tilsynelatende trukket ut ved å bruke Sovryns AMM-byttefunksjon, noe som betyr at angriperen endte opp med flere forskjellige tokens. Arbeidet med å få tilbake midler pågår fortsatt.
"På grunn av den flerlags sikkerhetstilnærmingen som ble tatt, var utviklere i stand til å identifisere og gjenopprette penger mens angriperen forsøkte å ta ut pengene," står det i innlegget. "På dette tidspunktet, gjennom en kombinert innsats, har utviklere klart å gjenvinne omtrent halvparten av verdien av utnyttelsen."
Sovryn-talsperson Edan Yago sa at dette er den første vellykkede utnyttelsen mot protokollen etter to års drift. Han opprettholdt at Sovryn er «en av de tyngste revidert Defi-systemer», med verdifulle og aktive feilpremier.
Utnyttelsen fungerte ved å manipulere Sovryns iToken-pris – rentebærende tokens som representerer andelen av kryptovaluta en bruker har i en utlånspool. Prisen på dette tokenet oppdateres hver gang en utlånspoolposisjon blir interagert med.
Hvordan midlene ble tappet
Først kjøpte angriperen WRBTC (wrapped RBTC) ved å bruke en flash-bytte i RskSwap. Deretter lånte han ytterligere WRBTC fra Sovryns utlånskontrakt ved å bruke sin egen XUSD (en annen stablecoin) som sikkerhet.
"Angriperen ga deretter likviditet til RBTC-lånekontrakten, lukket lånet med en swap ved å bruke XUSD-sikkerheten deres, innløste (brente) deres iRBTC-token og sendte WRBTC tilbake til RskSwap for å fullføre flash-byttet," fortsatte innlegget.
Hele prosessen manipulerte iToken-prisen slik at angriperen kunne trekke ut mye mer RBTC fra utlånspoolen enn det som ble satt inn først.
Sovryn presiserte at brukermidler ikke har blitt påvirket av hacket. Eventuelle manglende verdier fra utlånspuljene vil bli injisert på nytt av Exchequer – Sovryns statskasse.
Binance gratis $100 (eksklusivt): Bruk denne lenken for å registrere deg og motta $100 gratis og 10 % rabatt på Binance Futures første måned (vilkår).
PrimeXBT Spesialtilbud: Bruk denne lenken for å registrere deg og angi POTATO50-koden for å motta opptil $7,000 XNUMX på innskuddene dine.
Kilde: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/