O protocolo DeFi Sovryn, baseado em Bitcoin, foi hackeado em mais de US$ 1 milhão. O fato ocorreu nesta terça-feira (04) e a técnica para o roubo foi a manipulação de preços de criptoativos.
A partir disso, o ataque permitiu que o hacker extraísse o valor informado em criptomoedas, somando-se 44,93 RBTC e 211.045 USDT.
Protocolo DeFi Sovryn sofre primeiro hack
Segundo postagem no blog da Sovryn blockchain, desta terça-feira (04), os ataques foram concentrados no protocolo Sovryn Borrow/Lend. Portanto, o impacto ocorreu nas pools de empréstimos RBTC e USDT.
RBTC e USDT são criptoativos atrelados ao bitcoin e ao dólar americano, respectivamente. Nesse caso, eles circulam no Rootstock (RSK), uma sidechain do Bitcoin destinada a expandir os recursos de contrato inteligente, dapp e dimensionamento do Bitcoin.
Portanto, o Sovryn é um protocolo DeFi construído em RSK.
Alguns dos fundos foram aparentemente retirados usando a função de swap AMM do Sovryn. Isso significa que o invasor acabou com vários tokens diferentes.
Os esforços para a recuperação dos fundos ainda estão em andamento.
“Devido à abordagem de segurança em várias camadas adotada, os desenvolvedores conseguiram identificar e recuperar fundos enquanto o invasor tentava retirar os fundos.”
Contudo, conforme comunicado do blog, 50% do valor extraviado já foi recuperado:
“Neste ponto, por meio de um esforço combinado, os desenvolvedores conseguiram recuperar cerca de metade do valor extraviado no ataque.”
O porta-voz do Sovryn, Edan Yago, disse que este é o primeiro ataque bem-sucedido contra o protocolo DeFi após dois anos em funcionamento. Ademais, Yago afirmou, por meio de sua conta no Twitter, que o Sovryn é “um dos sistemas Defi mais auditados”, com recompensas de bugs valiosos e ativas.
“4/ Sovryn é um dos sistemas DeFi mais auditados. Existem duas camadas de auditorias internas em cada RP e várias auditorias de terceiros.
Além disso, desde o início, Sovryn teve uma das recompensas de bugs mais valiosas e ativas em @immunefi.”
A exploração funcionou manipulando o preço do iToken da Sovryn, tokens com juros que representam a parcela de uma criptomoeda que um usuário detém em uma pool de empréstimos. Ou seja, o preço desse token sofre atualização toda vez que uma posição da pool de empréstimos sofre interação.
Como aconteceu o golpe
Primeiro, o invasor comprou WRBTC (RBTC encapsulado) usando um flash swap no RskSwap. Em seguida, ele emprestou WRBTC adicional do contrato de empréstimo da Sovryn usando seu próprio XUSD (outra stablecoin) como garantia.
“O invasor forneceu liquidez ao contrato de empréstimo do RBTC, fechou seu empréstimo com um swap usando sua garantia XUSD, resgatou (queimou) seu token iRBTC e enviou o WRBTC de volta ao RskSwap para concluir o flash swap.”
Todo o processo ocasionou na manipulação do preço do iToken. Bem como, o invasor pode retirar muito mais RBTC da lending pool do que o valor depositado pela primeira vez.
Por fim, a Sovryn esclareceu que os fundos dos usuários não sofreram perdas com o hack. Contudo, reforçou que qualquer possível dano financeiro será depositado pela tesouraria da Sovryn.
“Potenciais perdas de usuários restantes serão totalmente cobertas pela Exchequer.”
LEIA MAIS: Número de carteiras de Bitcoin (BTC) cresce mesmo com bear market