Ang Sovryn – isang Bitcoin-based na desentralisadong finance protocol – ay naubos ng mahigit $1 milyon sa mga pondo noong Martes gamit ang pagsasamantala sa pagmamanipula ng presyo.
Ang pag-atake ay nagpapahintulot sa salarin na maubos ang mahigit $1 milyon na halaga ng crypto mula sa protocol, kabilang ang 44.93 RBTC at 211,045 USDT.
Unang Hack ni Sovryn
Ayon kay Sovryn blog post sa paksa, ang mga pag-atake ay partikular na naka-target sa legacy na Sovryn Borrow/Lend protocol. Naapektuhan nito ang RBTC at USDT lending pool.
Ang RBTC at USDT ay mga crypto asset na presyo na naka-pegged sa Bitcoin at US dollars ayon sa pagkakabanggit. Sa kasong ito, nagpapalipat-lipat sila sa Rootstock (RSK), isang sidechain ng Bitcoin na nilalayong palawakin ang matalinong kontrata ng Bitcoin, dapp, at mga kakayahan sa pag-scale. Ang Sovryn ay isang Defi protocol na binuo sa RSK.
Ang ilan sa mga pondo ay tila na-withdraw gamit ang AMM swap function ni Sovryn, ibig sabihin, ang umaatake ay napunta sa maraming iba't ibang mga token. Ang pagsisikap na mabawi ang mga pondo ay patuloy pa rin.
"Dahil sa multi-layered na diskarte sa seguridad na ginawa, natukoy at nabawi ng mga dev ang mga pondo habang sinusubukan ng umaatake na bawiin ang mga pondo," ang nabasa ng post. "Sa puntong ito, sa pamamagitan ng pinagsamang pagsisikap, nabawi ng mga dev ang halos kalahati ng halaga ng pagsasamantala."
Sinabi ni Sovryn spokesperson Edan Yago na ito ang unang matagumpay na pagsasamantala laban sa protocol pagkatapos ng dalawang taong operasyon. Siya pinananatili na si Sovryn ay “isa sa pinakamabigat ini-audit Defi system,” na may mahalaga at aktibong bug bounties.
Ang pagsasamantala ay nagtrabaho sa pamamagitan ng pagmamanipula sa presyo ng iToken ng Sovryn – mga token na may interes na kumakatawan sa bahagi ng cryptocurrency na hawak ng isang user sa isang lending pool. Ina-update ang presyo ng token na ito sa tuwing nakikipag-ugnayan ang isang posisyon sa lending pool.
Paano Naubos ang mga Pondo
Una, binili ng attacker ang WRBTC (nakabalot na RBTC) gamit ang flash swap sa RskSwap. Pagkatapos, humiram siya ng karagdagang WRBTC mula sa kontrata ng pagpapautang ni Sovryn gamit ang sarili niyang XUSD (isa pang stablecoin) bilang collateral.
"Pagkatapos ay nagbigay ang attacker ng liquidity sa kontrata ng pagpapautang ng RBTC, isinara ang kanilang loan sa isang swap gamit ang kanilang XUSD collateral, na-redeem (sinunog) ang kanilang iRBTC token, at ipinadala ang WRBTC pabalik sa RskSwap upang makumpleto ang flash swap," patuloy ang post.
Ang buong proseso ay minanipula ang presyo ng iToken upang ang umaatake ay makapag-withdraw ng mas maraming RBTC mula sa lending pool kaysa sa unang nadeposito.
Nilinaw ni Sovryn na ang mga pondo ng user ay hindi naapektuhan ng hack. Ang anumang nawawalang halaga mula sa mga lending pool ay muling ibibigay ng Exchequer - ang Sovryn treasury.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/