Протокол Sovryn - REKT

Еще больше масла в огонь максималистов.

4 октября ~$1.1M были украдены из протокола Sovryn, который позиционирует себя как "DeFi" и работает в вызывающем дискуссии RSK: "сети смарт-контрактов Биткоин" (и, судя по всему, "самой безопасной сети смарт-контрактов в мире").

Разработчики перевели контракты в режим "технических работ", предотвратив дальнейшие потери, и объявление об атаке было сделано в достаточно самодовольном тоне в целой ветке в Twitter.

Но разве приостановка контрактов не является чем-то централизованным со стороны протокола, обслуживающего Биткоинеров?

Тем временем, пока создание действительно нативных приложений для DeFi в сети Bitcoin остается невозможным, хороший маркетинг привлекает инвесторов, а Sovryn очень сильно продвигался благодаря Энтони Помплиано в момент запуска в прошлом году. В основе шиллинга лежали ошибочные заявления о том, что у протокола был больший TVL, чем у Uniswap v3, почти $2 миллиарда.

TVL оказалась неправильно рассчитанной, были взяты в расчет нативные застейканные SOV. Это привело к тому, что DeFiLlama ввели галочку для отображения стейкинга в своих метриках TVL, и данные Sovryn упали до жалких $52M.

С тех пор TVL упала приблизительно на 90% после пика, а нативный токен SOV упал на 99% относительно своего самого высокого значения год назад.

Источник: BeosinAlert

Протокол потерял фонды двух устаревших пулов для займов: из пула RBTC (BTC, переведенные через мост RSK) было потеряно 45 RBTC (~$900k), а из пула USDT - 211k USDT.

Согласно анализу Beosin, эксплоит произошел по причине “внешнего вызова функции callTokensToSend.”

Адрес хакера: 0xc92ebecda030234c10e149beead6bba61197531a

Пример транзакции: 0xf5ea62…

Сначала злоумышленник развернул контракт атаки и перевел в него 0.03 RBTC.

Затем вызвал контракт атаки, чтобы взять в долг 8.20 RBТС на три парных адреса с помощью флэш-займа, затем депонировал все 8.23 RBTC.

Затем злоумышленник использовал LP, чтобы взять в долг 52,999 побочных токенов.

Вызвал функцию closeWithDeposit, чтобы выплатить залог. 26,900 побочных токенов были обменены на 4.17 RBTC. Отметьте, что из 26,000 побочных токенов злоумышленник начеканил 22,653 токена Loan, но в функции closeWithDeposit нет такой функции чеканки.

Затем мы обнаружили, что злоумышленник использовал побочные токены для того, чтобы вызвать контракт атаки извне, и воспользовался контрактом атаки, чтобы вызвать функцию чеканки.

Потому как в функции tokenPrice расчет цены Loan полагается на количество побочных токенов, а общее количество токенов на тот момент еще не было обновлено, злоумышленник получил больше токенов Loan.

Ну и наконец, злоумышленник вызвал функцию сжигания, чтобы сжечь 22,653 токена Loan и получить 27,086 побочных токенов.

Затем злоумышленник вызывает связанную функцию в цикле, чтобы получить побочный токен, и, наконец, конвертирует их в RBTC.

Украденные фонды были депонированы в Tornado Cash.

В обновлении, опубликованном 7-го октября пользователей Sovryn уверяют, что им не о чем беспокоиться:

На данный момент около половины фондов были возвращены

Оставшиеся потенциальные потери будут полностью возмещены с помощью Exchequer

И через пять дней после атаки вышло последнее объявление:

"Все фонды пользователей, застрявшие в мосте ETH были разблокированы. Есть только одно исключение [sic]: пользователь, переводивший из USDT в XUSD."

На Эфириуме нет недостатка в проектах, сфокусированных на BTC, включая переводимые через мосты активы, такие как WBTC/renBTC и такие протоколы, как Badger, но масштаб освоения Биткоина остается небольшим.

Даже самые большие из них, например WBTC с TVL на отметке в ~$5 миллиардов, едва сравнимы с $387-миллиардной рыночной стоимостью Биткоина.

Максималисты BTC не доверяют свои монеты для оборачивания в других сетях. Многие с подозрением относятся к Ethereum, DeFi и любым экспериментам с тем, что они считают чистой криптовалютой.

Этот инцидент даст биткоинерам еще больше поводов цепляться за свое цифровое золото.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.