Twórcy Sovryn poinformowali, że napastnik, wykorzystując exploit przestarzałego protokołu Borrow/Lend Sovryn, zaatakował pule pożyczkowe i wycofał 211 045 USDT i 44,93 RBTC. Łączna kwota skradzionych kryptowalut wynosi ponad 1 milion dolarów.
Zespół zdecentralizowanej platformy Sovryn stwierdził, że haker "zapewnił płynność kontraktowi kredytowemu RBTC, zamknął swój kredyt za pomocą swapu z wykorzystaniem zabezpieczenia XUSD, wykupił (spalił) swój token iRBTC i wysłał WRBTC z powrotem do RskSwap, aby zakończyć natychmiastową wymianę".
W ten sposób napastnik był w stanie wypłacić z puli pożyczkowej więcej RBTC niż pierwotnie zdeponował. Twórcy protokołu poinformowali, że "byli w stanie odzyskać aktywa, gdy napastnik próbował je wycofać". Do tej pory udało się odzyskać około połowy.
Członek zespołu Sovryn, Edan Yago, powiedział, że to pierwszy raz od dwóch lat, kiedy protokół został zhakowany. Twierdzi on, że Sovryn jest "stale poddawany zewnętrznym audytom", a jego polityka bezpieczeństwa przewiduje cenne nagrody za wykrywanie błędów.
4/ Sovryn is one of the most heavily audited DeFi systems. There are two layers of internal audits on every PR and multiple 3'rd party audits.
— Yago (@EdanYago) October 4, 2022
Additionally, from the beginning Sovryn has had one of the most valuable and active bug bounties on @immunefi.
Zespół wyjaśnił, że aktywa użytkowników nie zostały naruszone, a wszelkie brakujące kwoty z puli zostaną zwrócone przez projekt. RBTC i USDT to stabelcoiny powiązane odpowiednio z bitcoinem i dolarem amerykańskim. W incydencie hakerskim krążyły one po sidechainie Bitcoina Rootstock (RSK), zaprojektowanym w celu zwiększenia możliwości Bitcoina w zakresie smart kontraktów i skalowania.
Protokół Sovryn jest zbudowany na RSK. Protokoły DeFi nadal stanowią cel dla hakerów. Według specjalistów od bezpieczeństwa blockchaina - Immunefi, zdecentralizowane platformy straciły w III kwartale tego roku ponad 428,7 mln dolarów.