Sovryn, un protocolo de finanzas descentralizado basado en Bitcoin, fue drenado de más de $ 1 millón en fondos el martes utilizando una explotación de manipulación de precios.
El ataque permitió al culpable drenar más de un millón de dólares en criptomonedas del protocolo, incluidos 44,93 RBTC y 211 045 USDT.
El primer truco de Sovryn
Según Sovryn entrada en el blog sobre el tema, los ataques se dirigieron específicamente al protocolo heredado Sovryn Borrow/Lend. Afectó a los fondos de préstamos de RBTC y USDT.
RBTC y USDT son precios de activos criptográficos vinculados a Bitcoin y dólares estadounidenses, respectivamente. En este caso, circulan en Rootstock (RSK), una cadena lateral de Bitcoin destinada a expandir el contrato inteligente de Bitcoin. dappy capacidades de escalado. Sovryn es un protocolo Defi basado en RSK.
Aparentemente, algunos de los fondos se retiraron utilizando la función de intercambio AMM de Sovryn, lo que significa que el atacante terminó con varios tokens diferentes. El esfuerzo por recuperar los fondos aún está en curso.
“Debido al enfoque de seguridad de múltiples capas adoptado, los desarrolladores pudieron identificar y recuperar fondos cuando el atacante intentaba retirar los fondos”, se lee en la publicación. “En este punto, a través de un esfuerzo combinado, los desarrolladores lograron recuperar aproximadamente la mitad del valor del exploit”.
El portavoz de Sovryn, Edan Yago, dijo que esta es la primera explotación exitosa contra el protocolo después de dos años de operación. Él mantenido que Sovryn es “uno de los más fuertemente auditado Sistemas Defi”, con recompensas de errores valiosas y activas.
El exploit funcionó manipulando el precio de iToken de Sovryn: tokens que generan intereses que representan la parte de la criptomoneda que un usuario tiene en un grupo de préstamos. El precio de este token se actualiza cada vez que se interactúa con una posición del grupo de préstamos.
Cómo se drenaron los fondos
Primero, el atacante compró WRBTC (RBTC envuelto) usando un intercambio flash en RskSwap. Luego, tomó prestado WRBTC adicional del contrato de préstamo de Sovryn utilizando su propio XUSD (otra moneda estable) como garantía.
“El atacante luego proporcionó liquidez al contrato de préstamo de RBTC, cerró su préstamo con un intercambio utilizando su garantía XUSD, canjeó (quemó) su token iRBTC y envió el WRBTC de regreso a RskSwap para completar el intercambio rápido”, continuó la publicación.
Todo el proceso manipuló el precio de iToken de modo que el atacante pudiera retirar mucho más RBTC del grupo de préstamos de lo que se depositó por primera vez.
Sovryn aclaró que los fondos de los usuarios no se han visto afectados por el hackeo. Cualquier valor faltante de los fondos de préstamos será reinyectado por Exchequer, la tesorería de Sovryn.
Binance Free $100 (Exclusivo): utilice este enlace para registrarse y recibir $100 gratis y un 10 % de descuento en las tarifas del primer mes de Binance Futures (términos).
Oferta especial de PrimeXBT: use este enlace para registrarse e ingrese el código POTATO50 para recibir hasta $ 7,000 en sus depósitos.