Sovryn – en Bitcoin-baseret decentral finansiel protokol – blev drænet for over 1 million dollars i midler tirsdag ved hjælp af en udnyttelse af prismanipulation.
Angrebet gjorde det muligt for den skyldige at dræne mere end 1 million dollars i krypto fra protokollen, inklusive 44.93 RBTC og 211,045 USDT.
Sovryns første hack
Ifølge Sovryn's blogindlæg om emnet var angrebene specifikt rettet mod den gamle Sovryn Borrow/Lend-protokol. Det påvirkede RBTC- og USDT-udlånspuljerne.
RBTC og USDT er kryptoaktivers pris knyttet til henholdsvis Bitcoin og amerikanske dollars. I dette tilfælde cirkulerer de på Rootstock (RSK), en Bitcoin-sidekæde beregnet til at udvide Bitcoins smarte kontrakt, DAI, og skaleringsmuligheder. Sovryn er en Defi-protokol bygget på RSK.
Nogle af midlerne blev tilsyneladende trukket tilbage ved hjælp af Sovryns AMM-swap-funktion, hvilket betyder, at angriberen endte med flere forskellige tokens. Indsatsen for at inddrive midler er stadig i gang.
"På grund af den flerlagede sikkerhedstilgang, var udviklerne i stand til at identificere og inddrive midler, da angriberen forsøgte at hæve midlerne," står der i indlægget. "På dette tidspunkt, gennem en kombineret indsats, har udviklerne formået at genvinde omkring halvdelen af værdien af udnyttelsen."
Sovryns talsmand Edan Yago sagde, at dette er den første succesrige udnyttelse mod protokollen efter to års drift. Han opretholdes at Sovryn er "en af de tungeste revideres Defi-systemer,” med værdifulde og aktive bug-bounties.
Udnyttelsen fungerede ved at manipulere Sovryns iToken-pris – rentebærende tokens, der repræsenterer andelen af kryptovaluta en bruger har i en udlånspulje. Denne tokens pris opdateres, hver gang der interageres med en udlånspuljeposition.
Hvordan midlerne blev drænet
Først købte angriberen WRBTC (indpakket RBTC) ved hjælp af en flash-swap i RskSwap. Derefter lånte han yderligere WRBTC fra Sovryns lånekontrakt ved at bruge sin egen XUSD (en anden stablecoin) som sikkerhed.
"Angriberen tilførte derefter likviditet til RBTC-udlånskontrakten, lukkede deres lån med en swap ved hjælp af deres XUSD-sikkerhed, indløste (brændte) deres iRBTC-token og sendte WRBTC'en tilbage til RskSwap for at gennemføre flash-bytningen," fortsatte indlægget.
Hele processen manipulerede iToken-prisen, således at angriberen kunne trække langt mere RBTC fra udlånspuljen, end der først blev deponeret.
Sovryn præciserede, at brugernes midler ikke er blevet påvirket af hacket. Enhver manglende værdi fra udlånspuljerne vil blive genindskudt af statskassen - Sovryns statskasse.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/