Sovryn – ett Bitcoin-baserat decentraliserat finansprotokoll – dränerades på över 1 miljon dollar i medel på tisdagen med hjälp av ett prismanipulationsexploat.
Attacken gjorde det möjligt för den skyldige att tappa krypto från protokollet för över 1 miljon dollar, inklusive 44.93 RBTC och 211,045 XNUMX USDT.
Sovryns första hack
Enligt Sovryn's blogginlägg i ämnet, attackerna riktade sig specifikt mot det äldre Sovryn Borrow/Lend-protokollet. Det påverkade RBTC- och USDT-utlåningspoolerna.
RBTC och USDT är kryptotillgångars pris kopplade till Bitcoin respektive US-dollar. I det här fallet cirkulerar de på Rootstock (RSK), en Bitcoin-sidokedja avsedd att utöka Bitcoins smarta kontrakt, Dapp, och skalningsmöjligheter. Sovryn är ett Defi-protokoll byggt på RSK.
En del av medlen togs uppenbarligen ut med Sovryns AMM-swapfunktion, vilket betyder att angriparen fick flera olika tokens. Arbetet med att få tillbaka pengar pågår fortfarande.
"På grund av den flerskiktiga säkerhetsstrategin kunde utvecklarna identifiera och återfå pengar när angriparen försökte ta ut pengarna", står det i inlägget. "Vid det här laget, genom en kombinerad ansträngning, har utvecklarna lyckats återvinna ungefär hälften av värdet av exploateringen."
Sovryns talesperson Edan Yago sa att detta är den första framgångsrika exploateringen mot protokollet efter två års drift. han hållna att Sovryn är ”en av de tyngsta granskas Defi-system”, med värdefulla och aktiva bugg-pengar.
Exploateringen fungerade genom att manipulera Sovryns iToken-pris – räntebärande tokens som representerar andelen kryptovaluta en användare har i en utlåningspool. Detta tokens pris uppdateras varje gång en utlåningspoolposition interageras med.
Hur fonderna dränerades
Först köpte angriparen WRBTC (wrapped RBTC) med ett flash-byte i RskSwap. Sedan lånade han ytterligare WRBTC från Sovryns lånekontrakt med sin egen XUSD (ett annat stablecoin) som säkerhet.
"Angriparen tillhandahöll sedan likviditet till RBTC-lånekontraktet, stängde sitt lån med en swap med deras XUSD-säkerhet, löste in (brände) sin iRBTC-token och skickade WRBTC tillbaka till RskSwap för att slutföra flash-bytet", fortsatte inlägget.
Hela processen manipulerade iToken-priset så att angriparen kunde ta ut mycket mer RBTC från utlåningspoolen än vad som först deponerades.
Sovryn klargjorde att användarmedel inte har påverkats av hacket. Eventuella saknade värden från utlåningspoolerna kommer att återinjiceras av Exchequer – Sovryns statskassan.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/