Sovryn – базиран на биткойн протокол за децентрализирано финансиране – беше източен от над 1 милион долара във вторник с помощта на експлойт за манипулиране на цените.
Атаката позволи на виновника да източи криптовалута на стойност над 1 милион долара от протокола, включително 44.93 RBTC и 211,045 XNUMX USDT.
Първият хак на Sovryn
Според Соврин блог пост по темата, атаките са насочени конкретно към наследения протокол Sovryn Borrow/Lend. Това повлия на пуловете заеми на RBTC и USDT.
RBTC и USDT са цена на крипто активи, фиксирана съответно към биткойн и щатски долари. В този случай те циркулират на Rootstock (RSK), странична верига на биткойн, предназначена да разшири интелигентния договор на биткойн, DAPPи възможности за мащабиране. Sovryn е Defi протокол, изграден върху RSK.
Някои от средствата очевидно са били изтеглени с помощта на функцията за размяна на AMM на Sovryn, което означава, че нападателят е получил няколко различни токена. Усилията за възстановяване на средствата все още продължават.
„Поради възприетия многопластов подход за сигурност, разработчиците успяха да идентифицират и възстановят средства, докато нападателят се опитваше да изтегли средствата“, гласи публикацията. „В този момент, чрез комбинирани усилия, разработчиците са успели да възстановят около половината от стойността на експлойта.“
Говорителят на Sovryn Едан Яго каза, че това е първият успешен експлойт срещу протокола след две години работа. Той поддържа че Соврин е „един от най-тежко одитирани Defi системи“, с ценни и активни награди за грешки.
Експлойтът работеше чрез манипулиране на цената на iToken на Sovryn – лихвоносни токени, представляващи дела от криптовалута, която потребителят държи в пул за заеми. Цената на този токен се актуализира всеки път, когато се взаимодейства с позиция на кредитен пул.
Как бяха източени средствата
Първо, атакуващият купи WRBTC (опакован RBTC), използвайки флаш суап в RskSwap. След това той взе назаем допълнителен WRBTC от договора за заем на Sovryn, използвайки собствения си XUSD (друга стабилна монета) като обезпечение.
„След това нападателят предостави ликвидност на договора за заем на RBTC, затвори заема си със суап, използвайки тяхното XUSD обезпечение, изкупи (изгори) техния iRBTC токен и изпрати WRBTC обратно на RskSwap, за да завърши флаш суапа“, продължава публикацията.
Целият процес манипулира цената на iToken, така че нападателят да може да изтегли много повече RBTC от пула за заеми, отколкото е бил депозиран първоначално.
Соврин поясни, че средствата на потребителите не са били засегнати от хакването. Всяка липсваща стойност от пуловете за заеми ще бъде инжектирана отново от хазната – съкровищницата на Соврин.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/