Le protocole de financement décentralisé basé sur Bitcoin Sovryn a subi un exploit majeur mardi, avec un pirate informatique qui a drainé 1.1 million de dollars du protocole.
Le pirate a exploité une fonction héritée pour vider le protocole, en utilisant une technique de manipulation des prix dans l'un des pools de prêt du protocole.
Détails du piratage
Sovryn a publié un blog récents détaillant l'attaque, qui ciblait spécifiquement l'ancien protocole Sovryn Borrow/Lend, qui a eu un impact sur les pools de prêt RBTC et USDT. L'attaque a permis aux pirates de drainer plus d'un million de dollars de crypto du protocole, qui comprenait également 1 211,045 USDT et 44.93 RBTC.
Le RBTC et l'USDT sont rattachés au Bitcoin et au dollar américain. Dans le cas de Sovryn, ils sont basés sur Rootstock (RSK), une chaîne latérale de Bitcoin qui est conçue pour étendre le contrat intelligent, l'application décentralisée (dApp) et les capacités de mise à l'échelle de ce dernier. Le protocole Sovryn est construit sur la blockchain RSK. Les détails du piratage ont été partagés sur Twitter par une poignée appelée @web3isgreat, qui a déclaré,
«Le protocole DeFi basé sur Bitcoin, Sovryn, a perdu 1 million de dollars à cause d'une attaque de manipulation de prix. Un exploiteur a pu utiliser l'ancienne fonctionnalité de prêt et d'emprunt du projet pour retirer de manière malveillante 44.93 RBTC (~ 915,000 211,045 $) et XNUMX XNUMX USDT.
L'attaquant a également utilisé la fonction d'échange AMM de Sovryn pour retirer une partie des fonds, ce qui signifie qu'il s'est retrouvé avec plusieurs types de jetons différents. Le billet de blog a également ajouté que les efforts pour récupérer les fonds sont toujours en cours.
"Grâce à l'approche de sécurité multicouche adoptée, les développeurs ont pu identifier et récupérer des fonds alors que l'attaquant tentait de retirer les fonds. À ce stade, grâce à un effort combiné, les développeurs ont réussi à récupérer environ la moitié de la valeur de l'exploit. »
Premier piratage subi par Sovryn
Selon le porte-parole de Sovryn, Edan Yago, l'exploit était le premier exploit réussi du protocole au cours de ses deux années d'exploitation. Il a poursuivi en soulignant que Sovryn, malgré le piratage, reste l'un des systèmes DeFi les plus audités, avec plusieurs primes de bogues actives. L'exploit a manipulé le prix iToken de Sovyrn, qui sont des jetons portant intérêt qui représentent la part de crypto détenue par un utilisateur dans un pool de prêt.
Comment l'exploit a fonctionné
Le pirate a d'abord acheté WRBTC (Wrapped RBTC) via un échange flash sur RskSwap. Après cela, le pirate a emprunté WRBTC au contrat de prêt de Sovryn, en utilisant son propre XUSD comme garantie. Le billet de blog plus détaillé,
"L'attaquant a ensuite fourni des liquidités au contrat de prêt RBTC, a clôturé son prêt avec un échange en utilisant sa garantie XUSD, a racheté (brûlé) son jeton iRBTC et a renvoyé le WRBTC à RskSwap pour terminer l'échange flash."
Ce processus a aidé le pirate informatique à manipuler le prix de l'iToken, lui permettant de retirer plus de RBTC du pool de prêt ciblé que ce qui avait été initialement déposé. Cependant, Sovryn a déclaré que le piratage n'avait eu aucun impact sur les fonds des utilisateurs et que toute valeur manquante des pools de prêt serait compensée par la trésorerie de Sovryn.
Que faire ensuite?
sovryn a également mis en lumière la manière dont le protocole traitera le problème à l'avenir. Dans le billet de blog, la société a déclaré que les efforts pour récupérer les actifs du pirate se poursuivraient et qu'une enquête complète sur l'exploit serait lancée. L'équipe de Sovryn travaille également sur un plan pour remettre le système en pleine fonctionnalité. Cependant, il a ajouté que le mode de maintenance resterait en place jusqu'à ce qu'il y ait une confiance totale dans la sécurité du système. Il a également ajouté qu'un rapport post-mortem serait également publié une fois l'enquête terminée.
Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://cryptodaily.co.uk/2022/10/defi-protocol-sovryn-suffers-exploit-1-1-million-stolen