Martedì, il protocollo di finanza decentralizzata basato su Bitcoin Sovryn ha subito un grave exploit, con un hacker che ha prosciugato 1.1 milioni di dollari dal protocollo.
L'hacker ha sfruttato una funzione legacy per prosciugare il protocollo, utilizzando una tecnica di manipolazione dei prezzi in uno dei pool di prestito del protocollo.
Dettagli dell'hack
Sovryn ha pubblicato a post sul blog descrivendo in dettaglio l'attacco, che ha preso di mira specificamente il protocollo legacy Sovryn Borrow/Lend, che ha avuto un impatto sui pool di prestito RBTC e USDT. L'attacco ha consentito agli hacker di drenare oltre $ 1 milione di criptovalute dal protocollo, che includeva anche 211,045 USDT e 44.93 RBTC.
RBTC e USDT sono ancorati a Bitcoin e al dollaro USA. Nel caso di Sovryn, si basano su Rootstock (RSK), una catena laterale di Bitcoin progettata per espandere il contratto intelligente, l'applicazione decentralizzata (dApp) e le capacità di ridimensionamento di quest'ultimo. Il protocollo Sovryn è basato sulla blockchain di RSK. I dettagli dell'hacking sono stati condivisi su Twitter da un handle chiamato @web3isgreat, che ha dichiarato:
“Il protocollo DeFi basato su bitcoin, Sovryn, ha perso 1 milione di dollari a causa di un attacco di manipolazione dei prezzi. Un sfruttatore è stato in grado di utilizzare la funzionalità di prestito e prestito legacy del progetto per prelevare in modo dannoso 44.93 RBTC (~ $ 915,000) e 211,045 USDT.
L'attaccante ha anche utilizzato la funzione di scambio AMM di Sovryn per prelevare parte dei fondi, il che significava che si sono ritrovati con diversi tipi di token. Il post sul blog ha anche aggiunto che gli sforzi per recuperare i fondi sono ancora in corso.
"Grazie all'approccio di sicurezza a più livelli adottato, gli sviluppatori sono stati in grado di identificare e recuperare i fondi mentre l'attaccante stava tentando di ritirare i fondi. A questo punto, attraverso uno sforzo congiunto, gli sviluppatori sono riusciti a recuperare circa la metà del valore dell'exploit".
Primo Hack subito da Sovryn
Secondo il portavoce di Sovryn Edan Yago, l'exploit è stato il primo exploit di successo del protocollo nei suoi due anni di attività. Ha continuato sottolineando che Sovryn, nonostante l'hacking, rimane uno dei sistemi DeFi più pesantemente controllati, con diverse taglie di bug attive. L'exploit ha manipolato il prezzo di iToken di Sovyrn, che sono token fruttiferi che rappresentano la quota di criptovalute detenuta da un utente in un pool di prestiti.
Come ha funzionato l'exploit
L'hacker ha acquistato per la prima volta WRBTC (Wrapped RBTC) tramite uno scambio flash su RskSwap. Successivamente, l'hacker ha preso in prestito WRBTC dal contratto di prestito di Sovryn, utilizzando i propri XUSD come garanzia. Il post del blog ulteriormente elaborato,
"L'attaccante ha quindi fornito liquidità al contratto di prestito RBTC, ha chiuso il prestito con uno swap utilizzando la sua garanzia XUSD, ha riscattato (bruciato) il suo token iRBTC e ha inviato il WRBTC a RskSwap per completare il flash swap".
Questo processo ha aiutato l'hacker a manipolare il prezzo di iToken, consentendo loro di ritirare più RBTC dal pool di prestito mirato di quanto inizialmente depositato. Tuttavia, Sovryn ha affermato che l'hacking non ha avuto alcun impatto sui fondi degli utenti e che qualsiasi valore mancante dai pool di prestito sarà compensato attraverso il tesoro di Sovryn.
What Next?
Sovrin far luce anche su come il protocollo gestirà il problema andando avanti. Nel post sul blog, la società ha affermato che gli sforzi per recuperare le risorse dall'hacker sarebbero continuati e che sarebbe stata avviata un'indagine completa sull'exploit. Il team di Sovryn sta anche lavorando a un piano per riportare il sistema alla piena funzionalità. Tuttavia, ha aggiunto che la modalità di manutenzione rimarrebbe in vigore fino a quando non ci sarà completa fiducia nella sicurezza del sistema. Ha anche aggiunto che un rapporto post mortem sarebbe stato pubblicato anche una volta completata l'indagine.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen