Біткойн Defi Protocol Sovryn зламано на суму понад 1 мільйон доларів

У вівторок із децентралізованого фінансового протоколу на основі біткойнів було виведено понад 1 мільйон доларів США за допомогою маніпуляції цінами. 

Атака дозволила зловмиснику викачати з протоколу криптовалюти на суму понад 1 мільйон доларів, включаючи 44.93 RBTC і 211,045 XNUMX USDT.

Перший хак Соврина

За словами Соврина блог на цю тему, атаки були спрямовані саме на застарілий протокол Sovryn Borrow/Lend. Це вплинуло на пули кредитування RBTC і USDT. 

RBTC і USDT — ціна криптоактивів, прив’язана до біткойнів і доларів США відповідно. У цьому випадку вони циркулюють на Rootstock (RSK), сайдчейні біткойна, призначеному для розширення розумного контракту біткойна, dapp, і можливості масштабування. Sovryn — це протокол Defi, побудований на RSK. 

Деякі кошти, очевидно, були виведені за допомогою функції обміну AMM Sovryn, тобто зловмисник отримав кілька різних токенів. Робота з повернення коштів ще триває. 

«Завдяки застосуванню багаторівневого підходу до безпеки розробники змогли ідентифікувати та відновити кошти, коли зловмисник намагався вивести кошти», — йдеться у дописі. «На даний момент завдяки спільним зусиллям розробникам вдалося відновити приблизно половину вартості експлойту».

Речник Sovryn Едан Яго сказав, що це перший успішний експлойт проти протоколу після двох років роботи. Він підтримується що Соврин «один із найважчих аудит Defi Systems» із цінними та активними винагородами за помилки. 

Експлойт спрацював шляхом маніпулювання ціною iToken Sovryn – процентними токенами, що представляють частку криптовалюти, яку користувач має в кредитному пулі. Ціна цього токена оновлюється щоразу, коли відбувається взаємодія з позицією кредитного пулу. 

Як зливали кошти

Спочатку зловмисник купив WRBTC (загорнутий RBTC) за допомогою флеш-свопу в RskSwap. Потім він позичив додатковий WRBTC за кредитним контрактом Соврина, використовуючи свій власний XUSD (інший стейблкойн) як заставу. 

«Потім зловмисник надав ліквідність кредитному контракту RBTC, закрив свою позику свопом, використовуючи заставу XUSD, викупив (спалив) їхній токен iRBTC і відправив WRBTC назад до RskSwap для завершення флеш-свопу», — йдеться далі в дописі. 

Увесь процес маніпулював ціною iToken таким чином, що зловмисник міг вилучити з пулу кредитування набагато більше RBTC, ніж було внесено спочатку. 

Соврин уточнив, що кошти користувачів від злому не постраждали. Будь-яка відсутня вартість із пулів позик буде повторно введена Казначейством – казначейством Соврин.