Sovryn - дэцэнтралізаваны фінансавы пратакол, заснаваны на біткойнах - у аўторак быў зліты больш чым на 1 мільён долараў з дапамогай эксплойта маніпулявання цэнамі.
Атака дазволіла вінаватаму зліць з пратаколу крыпты на суму больш за 1 мільён долараў, у тым ліку 44.93 RBTC і 211,045 XNUMX USDT.
Першы хак Соўрына
Паводле Соўрынаў блог па тэме, атакі спецыяльна былі накіраваны на састарэлы пратакол Sovryn Borrow/Lend. Гэта паўплывала на пулы крэдытавання RBTC і USDT.
RBTC і USDT - гэта крыпта-актывы, цана якіх прывязана да біткойнаў і долараў ЗША адпаведна. У гэтым выпадку яны цыркулююць на Rootstock (RSK), сайдчэйне біткойнаў, прызначаным для пашырэння разумнага кантракту біткойна, Дапп, і магчымасці маштабавання. Sovryn - гэта пратакол Defi, пабудаваны на RSK.
Частка сродкаў, відаць, была знята з дапамогай функцыі абмену AMM Sovryn, што азначае, што зламыснік атрымаў некалькі розных токенаў. Праца па вяртанні сродкаў яшчэ працягваецца.
«Дзякуючы выкарыстанню шматузроўневага падыходу бяспекі, распрацоўшчыкі змаглі ідэнтыфікаваць і вярнуць сродкі, калі зламыснік спрабаваў вывесці сродкі», — гаворыцца ў паведамленні. «На дадзены момант сумеснымі намаганнямі распрацоўнікам удалося вярнуць прыкладна палову кошту эксплойта».
Прэс-сакратар Sovryn Эдан Яго сказаў, што гэта першы паспяховы эксплойт супраць пратаколу пасля двух гадоў працы. Ён падтрымліваецца што Соўрын — «адзін з самых цяжкіх аўдыт Defi сістэмы», з каштоўнымі і актыўнымі бонусамі за памылку.
Эксплойт спрацаваў, маніпулюючы цаной iToken ад Sovryn - працэнтнымі токенамі, якія прадстаўляюць долю крыптавалюты, якую карыстальнік мае ў пуле крэдытавання. Кошт гэтага токена абнаўляецца кожны раз, калі адбываецца ўзаемадзеянне з пазіцыяй крэдытнага пула.
Як злівалі сродкі
Спачатку зламыснік купіў WRBTC (загорнуты RBTC) з дапамогай флэш-свопу ў RskSwap. Затым ён пазычыў дадатковы WRBTC з крэдытнага кантракту Sovryn, выкарыстоўваючы свой уласны XUSD (яшчэ адзін стейблкойн) у якасці закладу.
«Затым зламыснік забяспечыў ліквіднасць крэдытнага кантракту RBTC, закрыў сваю пазыку свопам з выкарыстаннем закладу XUSD, выкупіў (спаліў) свой токен iRBTC і адправіў WRBTC назад у RskSwap для завяршэння флэш-свопу», — гаворыцца ў паведамленні.
Увесь працэс маніпуляваў цаной iToken такім чынам, што зламыснік мог вывесці значна больш RBTC з крэдытнага пула, чым было ўнесена першапачаткова.
Соўрын удакладніў, што сродкі карыстальнікаў ад узлому не пацярпелі. Любая сума, якая адсутнічае з крэдытных пулаў, будзе адноўлена казначэйствам - Саўрынскім казначэйствам.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/