Bitcoin Defi Protocol Sovryn hakkeroidaan yli miljoonalla dollarilla

Sovryn – Bitcoin-pohjainen hajautettu rahoitusprotokolla – tyhjennettiin yli miljoona dollaria varoista tiistaina käyttämällä hintojen manipulointia. 

Hyökkäyksen ansiosta syyllinen sai tyhjentää yli miljoonan dollarin arvosta kryptoprotokollasta, mukaan lukien 1 RBTC ja 44.93 211,045 USDT.

Sovryn ensimmäinen hakkerointi

Sovrynin mukaan blogi Aiheeseen liittyen hyökkäykset kohdistuivat erityisesti vanhaan Sovryn Borrow/Lend -protokollaan. Se vaikutti RBTC- ja USDT-lainapooliin. 

RBTC ja USDT ovat kryptoomaisuuden hinta, joka on sidottu Bitcoiniin ja vastaavasti Yhdysvaltain dollariin. Tässä tapauksessa ne kiertävät Rootstockissa (RSK), Bitcoinin sivuketjussa, jonka tarkoituksena on laajentaa Bitcoinin älykästä sopimusta, DAPP, ja skaalausominaisuudet. Sovryn on RSK:lle rakennettu Defi-protokolla. 

Osa varoista ilmeisesti nostettiin Sovrynin AMM-swap-toiminnolla, mikä tarkoittaa, että hyökkääjä päätyi useisiin eri rahakkeisiin. Varojen takaisin saaminen jatkuu edelleen. 

"Monikerroksisen tietoturvalähestymistavan ansiosta kehittäjät pystyivät tunnistamaan ja palauttamaan varat, kun hyökkääjä yritti nostaa varoja", lukee viesti. "Tässä vaiheessa kehittäjät ovat onnistuneet saamaan takaisin noin puolet hyväksikäytön arvosta yhteisillä ponnisteluilla."

Sovryn tiedottaja Edan Yago sanoi, että tämä on ensimmäinen onnistunut hyväksikäyttö protokollaa vastaan ​​kahden vuoden käytön jälkeen. Hän ylläpidetään että Sovryn on "yksi raskaimmista tarkastettu Defi-järjestelmät”, joissa on arvokkaita ja aktiivisia bugipalkkioita. 

Hyödyntäminen toimi manipuloimalla Sovryn iToken-hintaa – korollisia tokeneita, jotka edustavat käyttäjän osuutta kryptovaluutoista lainapoolissa. Tämän tunnuksen hinta päivitetään aina, kun lainauspoolipositiota käsitellään. 

Kuinka varat tyhjennettiin

Ensin hyökkääjä osti WRBTC:n (wrapped RBTC) flash-swapilla RskSwapissa. Sitten hän lainasi lisää WRBTC:tä Sovryn lainasopimuksesta käyttämällä omaa XUSD:ään (toinen vakaa kolikko) vakuutena. 

"Hyökkääjä tarjosi sitten likviditeettiä RBTC-lainaussopimukselle, sulki lainansa vaihtosopimuksella käyttämällä XUSD-vakuustaan, lunasti (poltti) iRBTC-tunnuksensa ja lähetti WRBTC:n takaisin RskSwapille suorittaakseen flash-swapin", viesti jatkui. 

Koko prosessi manipuloi iToken-hintaa siten, että hyökkääjä saattoi nostaa paljon enemmän RBTC:tä lainapoolista kuin mitä oli ensin talletettu. 

Sovryn selvensi, että hakkerointi ei ole vaikuttanut käyttäjien varoihin. Valtiovarainministeriö – Sovryn treasury – palauttaa lainapoolista puuttuvan arvon.