Sovryn — протокол децентрализованного финансирования на основе биткойнов — во вторник был украден более 1 миллиона долларов с помощью эксплойта манипулирования ценами.
Атака позволила злоумышленнику вывести из протокола криптовалюту на сумму более 1 миллиона долларов, включая 44.93 RBTC и 211,045 XNUMX долларов США.
Первый взлом Соврина
По мнению Соврина блоге по этой теме, атаки были конкретно нацелены на устаревший протокол Sovryn Borrow/Lend. Это повлияло на кредитные пулы RBTC и USDT.
RBTC и USDT — это цена криптоактивов, привязанная к биткойнам и долларам США соответственно. В данном случае они циркулируют через Rootstock (RSK), сайдчейн Биткойна, предназначенный для расширения смарт-контракта Биткойна. DAPPи возможности масштабирования. Sovryn — это протокол Defi, построенный на RSK.
Часть средств, очевидно, была выведена с использованием функции обмена AMM Sovryn, а это означает, что злоумышленник получил несколько разных токенов. Попытки вернуть средства продолжаются.
«Благодаря многоуровневому подходу к безопасности разработчики смогли идентифицировать и вернуть средства, когда злоумышленник пытался их вывести», — говорится в сообщении. «На данный момент совместными усилиями разработчикам удалось восстановить около половины стоимости эксплойта».
Представитель Sovryn Эдан Яго заявил, что это первая успешная атака на протокол после двух лет эксплуатации. Он поддержанный что Соврин — «один из самых тяжеловесных аудит Системы Defi» с ценными и активными наградами за обнаружение ошибок.
Эксплойт работал путем манипулирования ценой iToken Sovryn — процентных токенов, представляющих долю криптовалюты, которую пользователь держит в кредитном пуле. Цена этого токена обновляется каждый раз, когда происходит взаимодействие с позицией кредитного пула.
Как были слиты средства
Сначала злоумышленник купил WRBTC (обернутый RBTC), используя флэш-своп в RskSwap. Затем он одолжил дополнительные WRBTC по кредитному контракту Соврина, используя в качестве залога свой собственный XUSD (еще один стейблкоин).
«Затем злоумышленник предоставил ликвидность кредитному контракту RBTC, закрыл свой кредит с помощью свопа, используя залог в XUSD, выкупил (сжег) свой токен iRBTC и отправил WRBTC обратно в RskSwap для завершения флэш-свопа», — продолжилось сообщение.
Весь процесс манипулировал ценой iToken так, что злоумышленник мог вывести из кредитного пула гораздо больше RBTC, чем было первоначально внесено.
Соврин уточнил, что средства пользователей взлом не затронул. Любая недостающая сумма из кредитных пулов будет повторно внесена Казначейством – Совринской казной.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/