O protocolo financeiro descentralizado baseado em Bitcoin Sovryn sofreu uma grande exploração na terça-feira, com um hacker drenando US $ 1.1 milhão do protocolo.
O hacker explorou uma função herdada para drenar o protocolo, usando uma técnica de manipulação de preços em um dos pools de empréstimos do protocolo.
Detalhes do hack
Sovryn publicou um no blog detalhando o ataque, que visava especificamente o protocolo Sovryn Borrow/Lend legado, que impactou os pools de empréstimos RBTC e USDT. O ataque permitiu que os hackers drenassem mais de US$ 1 milhão em criptomoedas do protocolo, que também incluía 211,045 USDT e 44.93 RBTC.
RBTC e USDT estão atrelados ao Bitcoin e ao dólar americano. No caso do Sovryn, eles são baseados no Rootstock (RSK), uma cadeia lateral do Bitcoin projetada para expandir o contrato inteligente, o aplicativo descentralizado (dApp) e os recursos de dimensionamento deste último. O protocolo Sovryn é construído na blockchain RSK. Os detalhes do hack foram compartilhados no Twitter por um identificador chamado @web3isgreat, que afirmou:
“O protocolo DeFi baseado em Bitcoin, Sovryn, perdeu US$ 1 milhão em um ataque de manipulação de preços. Um explorador conseguiu usar a funcionalidade de empréstimo e empréstimo herdada do projeto para sacar maliciosamente 44.93 RBTC (~$915,000) e 211,045 USDT.”
O invasor também usou a função de troca AMM do Sovryn para retirar alguns dos fundos, o que significava que eles acabaram com vários tipos diferentes de tokens. A postagem no blog também acrescentou que os esforços para recuperar os fundos ainda estão em andamento.
“Devido à abordagem de segurança em várias camadas adotada, os desenvolvedores conseguiram identificar e recuperar fundos enquanto o invasor tentava retirar os fundos. Neste ponto, por meio de um esforço combinado, os desenvolvedores conseguiram recuperar cerca de metade do valor da exploração.”
Primeiro hack sofrido por Sovryn
De acordo com o porta-voz do Sovryn, Edan Yago, a exploração foi a primeira exploração bem-sucedida do protocolo em seus dois anos de operações. Ele enfatizou que o Sovryn, apesar do hack, continua sendo um dos sistemas DeFi mais auditados, com várias recompensas de bugs ativas. A exploração manipulou o preço do iToken da Sovyrn, que são tokens com juros que representam a parcela de criptografia detida por um usuário em um pool de empréstimos.
Como a exploração funcionou
O hacker comprou primeiro o WRBTC (Wrapped RBTC) por meio de uma troca de flash no RskSwap. Depois disso, o hacker pegou emprestado o WRBTC do contrato de empréstimo de Sovryn, utilizando seu próprio XUSD como garantia. A postagem do blog mais detalhada,
“O invasor forneceu liquidez ao contrato de empréstimo do RBTC, fechou seu empréstimo com um swap usando sua garantia XUSD, resgatou (queimou) seu token iRBTC e enviou o WRBTC de volta ao RskSwap para concluir o flash swap.”
Esse processo ajudou o hacker a manipular o preço do iToken, permitindo que eles sacassem mais RBTC do pool de empréstimos direcionado do que o inicialmente depositado. No entanto, Sovryn afirmou que o hack não afetou os fundos dos usuários de forma alguma e que qualquer valor ausente dos pools de empréstimos será compensado através do tesouro Sovryn.
O que vem a seguir?
Sovryn também lançar luz sobre como o protocolo irá lidar com o problema daqui para frente. Na postagem do blog, a empresa afirmou que os esforços para recuperar ativos do hacker continuariam e uma investigação completa sobre a exploração seria iniciada. A equipe da Sovryn também está trabalhando em um plano para retornar o sistema à funcionalidade total. No entanto, acrescentou que o modo de manutenção permaneceria em vigor até que haja total confiança na segurança do sistema. Também acrescentou que um relatório post-mortem também será publicado assim que a investigação estiver concluída.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen