비트코인 기반 분산 금융 프로토콜인 Sovryn은 화요일 가격 조작 악용을 통해 1만 달러 이상의 자금을 소진했습니다. 

이 공격으로 범인은 1 RBTC 및 44.93 USDT를 포함하여 프로토콜에서 211,045만 달러 이상의 암호화폐를 유출할 수 있었습니다.

소브린의 첫 번째 해킹

소브린의 말에 따르면 블로그 게시물 이 주제에 대해 공격은 특히 레거시 Sovryn Borrow/Lend 프로토콜을 대상으로 했습니다. RBTC 및 USDT 대출 풀에 영향을 미쳤습니다. 

RBTC와 USDT는 각각 비트코인과 미국 달러에 고정된 암호화 자산 가격입니다. 이 경우 비트코인의 스마트 계약을 확장하기 위한 비트코인 ​​사이드체인인 루트스탁(RSK)에서 순환합니다. dapp및 확장 기능. Sovryn은 RSK에 구축된 Defi 프로토콜입니다. 

일부 자금은 분명히 Sovryn의 AMM 스왑 기능을 사용하여 인출되었으며, 이는 공격자가 여러 다른 토큰을 갖게 되었음을 의미합니다. 자금 회수를 위한 노력은 여전히 ​​진행 중입니다. 

"다계층 보안 접근 방식을 취했기 때문에 개발자는 공격자가 자금을 인출하려고 시도할 때 자금을 식별하고 복구할 수 있었습니다."라고 게시물이 나와 있습니다. "이 시점에서 개발자들은 공동의 노력을 통해 익스플로잇 가치의 약 절반을 복구할 수 있었습니다."

Sovryn 대변인 Edan Yago는 이것이 XNUMX년의 운영 후 프로토콜에 대한 첫 번째 성공적인 익스플로잇이라고 말했습니다. 그 유지 Sovryn은 "가장 무겁게 감사 Defi systems'에서 가치 있고 활동적인 버그 현상금을 제공합니다. 

이 익스플로잇은 사용자가 대출 풀에서 보유하고 있는 암호화폐의 지분을 나타내는 이자가 붙는 토큰인 Sovryn의 iToken 가격을 조작하여 작동했습니다. 이 토큰의 가격은 대출 풀 위치가 상호 작용할 때마다 업데이트됩니다. 

자금이 유출된 방법

먼저 공격자는 RskSwap에서 플래시 스왑을 사용하여 WRBTC(래핑된 RBTC)를 구입했습니다. 그런 다음 그는 자신의 XUSD(또 다른 스테이블 코인)를 담보로 사용하여 Sovryn의 대출 계약에서 추가 WRBTC를 빌렸습니다. 

"공격자는 RBTC 대출 계약에 유동성을 제공하고 XUSD 담보를 사용하여 스왑으로 대출을 마감하고 iRBTC 토큰을 상환(소각)하고 WRBTC를 RskSwap으로 보내 플래시 스왑을 완료했습니다." 

전체 프로세스는 공격자가 처음 입금된 것보다 훨씬 더 많은 RBTC를 대출 풀에서 인출할 수 있도록 iToken 가격을 조작했습니다. 

Sovryn은 사용자 자금이 해킹의 영향을 받지 않았다고 설명했습니다. 대출 풀에서 누락된 가치는 Sovryn 재무부인 Exchequer에서 다시 주입됩니다.