Sovryn okradzione na 1 milion dolarów

Sovryn – zdecentralizowany protokół finansowy – został okradziony. „Wyssano” z niego z ponad 1 milion dolarów. Powodem była luka w kodzie. 

Udany atak na Sovryn

Jak podają media, atakujący wyprowadzili z protokołu ponad milion dolarów w kryptowalutach, w tym 44,93 RBTC i 211 045 USDT.

Zgodnie z wpisem na blogu Sovryn, ataki były skierowane głównie na starszy protokół Sovryn Borrow/Lend. Wpłynęło to na pulę pożyczek RBTC i USDT.

RBTC i USDT to aktywa, które są powiązane cenowo odpowiednio z bitcoinem i dolarem amerykańskim. Są oparte na Rootstock (RSK), łańcuchu bocznym sieci Bitcoin, który pozwala na korzystanie z możliwości inteligentnych kontraktów i dappsów (zdecentralizowanych aplikacji). Sovryn to z kolei protokół DeFi zbudowany na RSK.

Niektóre środki zostały przejęte dzięki funkcji wymiany AMM Sovryn. Jak dodano, próby odzyskania kryptowalut wciąż trwają.

„Dzięki przyjętemu wielowarstwowemu podejściu do bezpieczeństwa, programiści byli w stanie zidentyfikować i odzyskać środki, gdy atakujący próbował je wypłacić” – czytamy w poście na blogu. „W tym momencie, dzięki połączonym wysiłkom, deweloperom udało się odzyskać około połowy wartości [środków skradzionych za pomocą] exploita”, dodano.

Exploit to program mający na celu wykorzystanie istniejących błędów w oprogramowaniu w celu przejęcia kontroli nad działaniem danego procesu.

Rzecznik Sovryn, Edan Yago, przyznaje, że był to pierwszy udany atak na jego protokół, który działa od dwóch lat. Dodał, że Sovryn jest „jednym z najlepiej skontrolowanych systemów DeFi”.

Jak doszło do ataku?

Wiemy, że przestępca zaczął atak od manipulowania ceną iToken Sovryn – oprocentowanych tokenów, reprezentujących udział kryptowalut użytkownika w puli pożyczek. Cena takich tokenów jest aktualizowana za każdym razem, gdy wchodzi się w interakcję ze wspomnianą pulą pożyczek.

Atakujący kupił WRBTC za pomocą flash swap w RskSwap. Następnie pożyczyli dodatkowe WRBTC z umowy kredytowej Sovryna, wykorzystując jako zabezpieczenie własne stablecoina XUSD.

„Atakujący następnie zapewnił płynność umowie pożyczki RBTC, zamknął pożyczkę za pomocą swapu przy użyciu zabezpieczenia XUSD, odkupił (spalił) swój token iRBTC i odesłał WRBTC z powrotem do RskSwap, aby dokończyć flash swap” – czytamy dalej.

Wszystko to umożliwiło mu manipulowanie ceną iToken w taki sposób, że mógł wycofać z puli pożyczek znacznie więcej RBTC, niż zostało zdeponowane.

Ponoć włamanie nie zagroziło użytkownikom i ich środkom. Ewentualne straty będą rekompensowane przez Sovryn.

Źródło: sovryn.app/blog/, Cryptopotato

Zobacz więcej newsów: dailychain.io