Sovryn – một giao thức tài chính phi tập trung dựa trên Bitcoin – đã bị tổn thất hơn 1 triệu USD tiền vào thứ Ba bằng cách sử dụng khai thác thao túng giá.
Cuộc tấn công đã cho phép thủ phạm rút hơn 1 triệu USD tiền điện tử khỏi giao thức, bao gồm 44,93 RBTC và 211.045 USDT.
Vụ hack thành công đầu tiên nhắm vào Sovryn
Theo bài đăng trên blog của Sovryn về chủ đề này, các cuộc tấn công nhắm mục tiêu cụ thể vào giao thức Borrow/Lend của Sovryn. Nó đã ảnh hưởng đến các nhóm cho vay RBTC và USDT.
RBTC và USDT là tài sản tiền điện tử được dùng để chốt giá tương ứng với Bitcoin và đô la Mỹ. Trong trường hợp này, chúng lưu hành trên Rootstock (RSK), một sidechain Bitcoin để mở rộng hợp đồng thông minh, dapp và khả năng mở rộng quy mô của Bitcoin. Sovryn là một giao thức Defi được xây dựng trên RSK.
Số tiền tổn thất có vẻ như đã bị rút bằng cách sử dụng chức năng hoán đổi AMM của Sovryn, có nghĩa là kẻ tấn công đã kết thúc với một số mã thông báo khác nhau. Sovryn vẫn đang nỗ lực thu hồi số tiền.
“Do sử dụng bảo mật nhiều lớp, các nhà phát triển có thể xác định và thu hồi tiền khi kẻ tấn công đang cố gắng rút tiền,” bài đăng cho biết. “Tại thời điểm này, thông qua nỗ lực chung, các nhà phát triển đã thu hồi được khoảng một nửa giá trị của số tiền bị đánh cắp.”
Người phát ngôn của Sovryn, Edan Yago, cho biết đây là vụ hack thành công đầu tiên nhằm vào giao thức sau hai năm hoạt động. Ông khẳng định rằng Sovryn là “một trong những hệ thống Defi được kiểm toán chặt chẽ nhất,” với các khoản tiền thưởng lỗi có giá trị và đang hoạt động.
Vụ tấn công hoạt động bằng cách thao túng giá iToken của Sovryn – mã thông báo chịu lãi suất đại diện cho phần tiền điện tử mà người dùng nắm giữ trong nhóm cho vay. Giá của mã thông báo này được cập nhật mỗi khi tương tác với nhóm cho vay.
Cách vụ hack diễn ra
Đầu tiên, kẻ tấn công đã mua WRBTC (RBTC Wrapped) bằng cách sử dụng hoán đổi flash trong RskSwap. Sau đó, hắn đã vay thêm WRBTC từ hợp đồng cho vay của Sovryn bằng cách sử dụng XUSD (một stablecoin khác) của chính mình làm tài sản thế chấp.
“Kẻ tấn công sau đó đã cung cấp thanh khoản cho hợp đồng cho vay RBTC, đóng khoản vay của hắn bằng một giao dịch hoán đổi bằng cách sử dụng tài sản thế chấp XUSD của bản thân, mua lại (đốt) mã thông báo iRBTC của mình và gửi WRBTC trở lại RskSwap để hoàn thành hoán đổi nhanh”, bài đăng giải thích.
Toàn bộ quy trình đã thao túng giá iToken để kẻ tấn công có thể rút nhiều RBTC từ nhóm cho vay hơn so với lần gửi đầu tiên.
Sovryn làm rõ rằng tiền của người dùng không bị ảnh hưởng bởi vụ hack. Bất kỳ giá trị nào còn thiếu từ các nhóm cho vay sẽ bị từ chối bởi Exchequer – kho bạc của Sovryn.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork