Sovryn - một giao thức tài chính phi tập trung dựa trên Bitcoin - đã bị rút hơn 1 triệu đô la tiền vào thứ Ba bằng cách sử dụng khai thác thao túng giá.
Cuộc tấn công đã cho phép thủ phạm rút hơn 1 triệu đô la tiền điện tử khỏi giao thức, bao gồm 44.93 RBTC và 211,045 USDT.
Lần hack đầu tiên của Sovryn
Theo Sovryn's blog đăng bài về chủ đề này, các cuộc tấn công nhắm mục tiêu cụ thể vào giao thức Sovryn Borrow / Lend. Nó đã ảnh hưởng đến các nhóm cho vay RBTC và USDT.
RBTC và USDT là giá tài sản tiền điện tử được chốt tương ứng với Bitcoin và đô la Mỹ. Trong trường hợp này, chúng lưu hành trên Rootstock (RSK), một sidechain Bitcoin có nghĩa là để mở rộng hợp đồng thông minh của Bitcoin, dappvà khả năng mở rộng quy mô. Sovryn là một giao thức Defi được xây dựng trên RSK.
Một số tiền dường như đã bị rút bằng cách sử dụng chức năng hoán đổi AMM của Sovryn, có nghĩa là kẻ tấn công đã kết thúc với một số mã thông báo khác nhau. Nỗ lực thu hồi vốn vẫn đang tiếp tục.
“Do cách tiếp cận bảo mật nhiều lớp được thực hiện, các nhà phát triển có thể xác định và thu hồi tiền khi kẻ tấn công đang cố gắng rút tiền,” bài đăng cho biết. “Tại thời điểm này, thông qua một nỗ lực tổng hợp, các nhà phát triển đã cố gắng thu hồi khoảng một nửa giá trị của việc khai thác.”
Người phát ngôn của Sovryn, Edan Yago cho biết đây là lần khai thác thành công đầu tiên chống lại giao thức sau hai năm hoạt động. Anh ta duy trì rằng Sovryn là "một trong những kiểm toán Hệ thống Defi, ”với tiền thưởng lỗi có giá trị và đang hoạt động.
Việc khai thác hoạt động bằng cách thao túng giá iToken của Sovryn - mã thông báo chịu lãi suất đại diện cho phần tiền điện tử mà người dùng nắm giữ trong nhóm cho vay. Giá của mã thông báo này được cập nhật mỗi khi vị thế của nhóm cho vay được tương tác với.
Làm thế nào các quỹ được rút ra
Đầu tiên, kẻ tấn công đã mua WRBTC (RBTC được bao bọc) bằng cách sử dụng hoán đổi flash trong RskSwap. Sau đó, anh ấy đã vay thêm WRBTC từ hợp đồng cho vay của Sovryn bằng cách sử dụng XUSD (một stablecoin khác) của chính anh ấy làm tài sản thế chấp.
“Kẻ tấn công sau đó đã cung cấp thanh khoản cho hợp đồng cho vay RBTC, đóng khoản vay của họ bằng một giao dịch hoán đổi bằng cách sử dụng tài sản thế chấp XUSD của họ, mua lại (đốt) mã thông báo iRBTC của họ và gửi WRBTC trở lại RskSwap để hoàn thành hoán đổi nhanh”, bài đăng tiếp tục.
Toàn bộ quy trình đã thao túng giá iToken để kẻ tấn công có thể rút nhiều RBTC từ nhóm cho vay hơn so với lần gửi đầu tiên.
Sovryn làm rõ rằng tiền của người dùng không bị ảnh hưởng bởi vụ hack. Bất kỳ giá trị nào còn thiếu từ các nhóm cho vay sẽ được Exchequer - kho bạc Sovryn từ chối.
Binance miễn phí $ 100 (Độc quyền): Sử dụng liên kết này để đăng ký và nhận 100 đô la miễn phí và giảm 10% phí trên Binance Futures tháng đầu tiên (về).
Ưu đãi đặc biệt của PrimeXBT: Sử dụng liên kết này để đăng ký và nhập mã POTATO50 để nhận tới $ 7,000 khi nạp tiền.
