Sovryn - REKT

Más leña para los maxis.

El 4 de octubre, se robaron ~$1,1M de Sovryn, un protocolo "DeFi" en la controvertida "red de smart contracts de Bitcoin", RSK (aparentemente, "la red de smart contracts más segura del mundo").

Los desarrolladores colocaron los contratos en "modo de mantenimiento" para evitar más pérdidas y el ataque se anunció a través de un hilo escrito bastante autocomplaciente en Twitter.

Pero, ¿la pausa de los contratos no está algo centralised, para un protocolo que atiende a los Bitcoiners?

Mientras que las aplicaciones DeFi verdaderamente nativas de Bitcoin siguen siendo imposibles, el buen marketing atrae a los inversores, y Sovryn fue heavily-shilled por Anthony Pompliano en su launch el año pasado, basándose en una afirmación errónea de que tenía mayor TVL que Uniswap v3, con casi $2B.

El TVL resultó estar mal contado, incluido el SOV nativo en staking, lo que llevó a DeFiLlama a agregar cambios en sus métricas de TVL de staked y reducir la cifra de Sovryn a solo $ 52M.

Desde entonces, TVL ha bajado aproximadamente un 90 % desde el pico y el token nativo SOV ha caído un 99 % desde su ATH de hace un año.

Créditos: BeosinAlert

El protocolo perdió fondos de dos legacy lending pools: el pool RBTC (RSK-bridged BTC), por 45 RBTC (~$900k), y el pool USDT, por 211k USDT.

Según el análisis de Beosin, el exploit se debió a la “external call de la función callTokensToSend.”

Attacker’s address: 0xc92ebecda030234c10e149beead6bba61197531a

Ejemplo tx: 0xf5ea62…

El atacante primero despliega el contrato de ataque y se transfiere a 0.03 RBTC.

Luego invoca el contrato de ataque para pedir prestado 8.20 RBTC a tres pares de direcciones a través de flashloan, luego deposita los 8.23 ​​RBTC.

El atacante usa el LP para tomar prestados 52,999 tokens secundarios.

A continuación, se llama a la función closeWithDeposit para reembolsar del colateral. Se intercambiaron 26.900 tokens secundarios por 4,17 RBTC. Tenga en cuenta que el atacante acuñó 26 000 tokens secundarios en 22 653 Load Token, mientras que en la función closeWithDeposit, no existe tal función mint.

Luego descubrimos que el atacante usó los tokens secundarios para llamar al contrato de ataque externamente y usó el contrato de ataque para llamar a la función mint.

Porque en la función tokenPrice, se basa en la cantidad de tokens secundarios para calcular el precio del Loan token, y la cantidad total de tokens no se ha actualizado en este momento, lo que hace que el atacante obtenga más Loan tokens.

Finalmente, el atacante llama a la función burn para quemar 22,653 Loan tokens para obtener 27,086 tokens secundarios.

Luego, el atacante llama a la función relacionada en un loop para obtener el token secundario y finalmente los convierte a RBTC.

Los fondos robados fueron depositados a Tornado.

Una actualización publicada el 7 de octubre asegura que ningun Sovryn individual debe preocuparse, afirmando que:

Aproximadamente la mitad de los fondos se han recuperado hasta ahora.

Las posibles pérdidas restantes de los usuarios serán cubiertas en su totalidad por el Exchequer

Y cinco días después del ataque, un anuncio final:

”Todos los fondos de los usuarios atascados en el bridge ETH se han desbloqueado. Solo hay una excepción: el usuario que se conecta en USDT a XUSD”.

No hay escasez de proyectos centrados en BTC en Ethereum, incluidos activos bridged como WBTC/renBTC y protocolos como Badger, pero la escala de adopción de Bitcoin sigue siendo baja.

Incluso el más grande de estos, WBTC, con un TVL de ~$5B , apenas rasca la superficie del market cap de $387B de Bitcoin.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.