Sovryn, un protocollo finanziario decentralizzato basato su Bitcoin, è stato prosciugato di oltre $ 1 milione di fondi martedì utilizzando un exploit di manipolazione dei prezzi.
L'attacco ha consentito al colpevole di drenare oltre $ 1 milione di criptovalute dal protocollo, inclusi 44.93 RBTC e 211,045 USDT.
Il primo hack di Sovryn
Secondo Sovryn post sul blog sull'argomento, gli attacchi hanno preso di mira specificamente il protocollo legacy Sovryn Borrow/Lend. Ha avuto un impatto sui pool di prestito RBTC e USDT.
RBTC e USDT sono il prezzo delle criptovalute ancorato rispettivamente a Bitcoin e dollari USA. In questo caso, circolano su Rootstock (RSK), una sidechain Bitcoin pensata per espandere lo smart contract di Bitcoin, Dappe capacità di ridimensionamento. Sovryn è un protocollo Defi basato su RSK.
Apparentemente alcuni dei fondi sono stati prelevati utilizzando la funzione di scambio AMM di Sovryn, il che significa che l'attaccante si è ritrovato con diversi token diversi. Lo sforzo per recuperare i fondi è ancora in corso.
"Grazie all'approccio di sicurezza a più livelli adottato, gli sviluppatori sono stati in grado di identificare e recuperare fondi mentre l'attaccante stava tentando di ritirare i fondi", si legge nel post. "A questo punto, attraverso uno sforzo congiunto, gli sviluppatori sono riusciti a recuperare circa la metà del valore dell'exploit".
Il portavoce di Sovryn, Edan Yago, ha affermato che questo è il primo exploit di successo contro il protocollo dopo due anni di attività. Lui mantenuto che Sovryn è “uno dei più pesanti sottoposto a revisione contabile Defi systems", con ricompense di bug preziose e attive.
L'exploit ha funzionato manipolando il prezzo di iToken di Sovryn, token fruttiferi che rappresentano la quota di criptovaluta che un utente detiene in un pool di prestiti. Il prezzo di questo token viene aggiornato ogni volta che si interagisce con una posizione del pool di prestito.
Come sono stati drenati i fondi
Innanzitutto, l'hacker ha acquistato WRBTC (wrapped RBTC) utilizzando uno scambio flash in RskSwap. Quindi, ha preso in prestito WRBTC aggiuntivo dal contratto di prestito di Sovryn utilizzando il proprio XUSD (un'altra stablecoin) come garanzia.
"L'attaccante ha quindi fornito liquidità al contratto di prestito RBTC, ha chiuso il prestito con uno swap utilizzando la sua garanzia XUSD, ha riscattato (bruciato) il suo token iRBTC e ha inviato il WRBTC a RskSwap per completare il flash swap", continua il post.
L'intero processo ha manipolato il prezzo di iToken in modo tale che l'attaccante potesse ritirare molto più RBTC dal pool di prestito di quanto fosse stato inizialmente depositato.
Sovryn ha chiarito che i fondi degli utenti non sono stati interessati dall'hacking. Qualsiasi valore mancante dai pool di prestito verrà reiniettato da Exchequer, il tesoro di Sovryn.
Binance Free $ 100 (esclusivo): Usa questo link per registrarti e ricevere $100 gratuiti e il 10% di sconto sulle commissioni su Binance Futures il primo mese (condizioni).
Offerta speciale PrimeXBT: Usa questo link per registrarti e inserire il codice POTATO50 per ricevere fino a $ 7,000 sui tuoi depositi.
Fonte: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/