El protocolo de finanzas descentralizadas basado en Bitcoin, Sovryn, sufrió una gran vulnerabilidad el martes, cuando un pirata informático extrajo $ 1.1 millones del protocolo.
El hacker explotó una función heredada para drenar el protocolo, utilizando una técnica de manipulación de precios en uno de los grupos de préstamos del protocolo.
Detalles del truco
Sovryn publicó un del blog detallando el ataque, que se centró específicamente en el protocolo Sovryn Borrow/Lend heredado, que afectó a los grupos de préstamos RBTC y USDT. El ataque permitió a los piratas informáticos drenar más de $ 1 millón en criptografía del protocolo, que también incluía 211,045 USDT y 44.93 RBTC.
RBTC y USDT están vinculados a Bitcoin y al dólar estadounidense. En el caso de Sovryn, se basan en Rootstock (RSK), una cadena lateral de Bitcoin que está diseñada para expandir el contrato inteligente, la aplicación descentralizada (dApp) y las capacidades de escalado de este último. El protocolo Sovryn se basa en la cadena de bloques RSK. Los detalles del hackeo fueron compartidos en Twitter por un identificador llamado @web3isgreat, que decía:
“El protocolo DeFi basado en Bitcoin, Sovryn, perdió $ 1 millón debido a un ataque de manipulación de precios. Un explotador pudo usar la funcionalidad heredada de préstamo y préstamo del proyecto para retirar maliciosamente 44.93 RBTC (~ $ 915,000) y 211,045 USDT ".
El atacante también usó la función de intercambio AMM de Sovryn para retirar parte de los fondos, lo que significó que terminaron con varios tipos diferentes de tokens. La publicación del blog también agregó que los esfuerzos para recuperar los fondos aún continúan.
“Debido al enfoque de seguridad de múltiples capas adoptado, los desarrolladores pudieron identificar y recuperar fondos cuando el atacante intentaba retirar los fondos. En este punto, a través de un esfuerzo combinado, los desarrolladores lograron recuperar aproximadamente la mitad del valor de la vulnerabilidad”.
Primer hack sufrido por Sovryn
Según el portavoz de Sovryn, Edan Yago, el exploit fue el primer exploit exitoso del protocolo en sus dos años de operaciones. Continuó enfatizando que Sovryn, a pesar del ataque, sigue siendo uno de los sistemas DeFi más auditados, con varias recompensas de errores activas. El exploit manipuló el precio de iToken de Sovyrn, que son tokens que generan intereses y representan la parte de las criptomonedas que tiene un usuario en un grupo de préstamos.
Cómo funcionó la explotación
El hacker primero compró WRBTC (Wrapped RBTC) a través de un intercambio rápido en RskSwap. Después de esto, el pirata informático tomó prestado WRBTC del contrato de préstamo de Sovryn, utilizando su propio XUSD como garantía. La publicación del blog más detallada,
"El atacante luego proporcionó liquidez al contrato de préstamo de RBTC, cerró su préstamo con un intercambio utilizando su garantía XUSD, canjeó (quemó) su token iRBTC y envió el WRBTC de regreso a RskSwap para completar el intercambio rápido".
Este proceso ayudó al pirata informático a manipular el precio de iToken, lo que le permitió retirar más RBTC del grupo de préstamos objetivo de lo que se depositó inicialmente. Sin embargo, Sovryn declaró que el hackeo no afectó los fondos de los usuarios de ninguna manera y que cualquier valor faltante de los fondos de préstamos será compensado a través de la tesorería de Sovryn.
¿Y ahora qué?
sovryn también arrojó luz sobre cómo el protocolo manejará el problema en el futuro. En la publicación del blog, la compañía declaró que continuarían los esfuerzos para recuperar los activos del pirata informático y que se iniciaría una investigación completa sobre el exploit. El equipo de Sovryn también está trabajando en un plan para devolver el sistema a su funcionalidad completa. Sin embargo, agregó que el modo de mantenimiento se mantendría hasta que haya una confianza total en la seguridad del sistema. También agregó que también se publicaría un informe post-mortem una vez que se complete la investigación.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen