Sovryn kena hack kehilangan 1.1 Juta Dollar

Sumber : Rekt News

Lebih banyak bahan bakar untuk maxis.

Pada tanggal 4 Oktober, ~$1,1 juta dicuri dari Sovryn, protokol “DeFi” pada “jaringan kontrak pintar Bitcoin” yang kontroversial, RSK (tampaknya “jaringan kontrak pintar paling aman di dunia”).

Pengembang menempatkan kontrak ke dalam “mode pemeliharaan” untuk mencegah kerugian lebih lanjut dan serangan itu diumumkan melalui utas tertulis yang agak memberi ucapan selamat di Twitter.

Tapi, bukankah menjeda kontrak agak terpusat, untuk protokol yang melayani Bitcoiner?

Sementara aplikasi DeFi yang benar-benar asli Bitcoin tetap tidak mungkin, pemasaran yang baik menarik investor, dan Sovryn sangat dirugikan oleh Anthony Pompliano saat diluncurkan tahun lalu, berdasarkan klaim yang salah bahwa ia memiliki TVL lebih tinggi daripada Uniswap v3, hampir $2 miliar.

TVL ternyata salah hitung, termasuk SOV asli yang dipertaruhkan, yang menyebabkan DeFiLlama menambahkan sakelar taruhan ke metrik TVL mereka, dan menurunkan angka Sovryn menjadi hanya $52 juta.

Sejak itu, TVL turun sekitar 90% sejak puncaknya dan token asli SOV telah turun 99% dari ATH-nya satu tahun yang lalu.

Kredit: BeosinAlert

Protokol kehilangan dana dari dua kumpulan pinjaman lama: kumpulan RBTC (BTC yang dijembatani RSK), seharga 45 RBTC (~$900rb), dan kumpulan USDT, seharga 211rb USDT.

Menurut analisis Beosin, eksploitasi itu turun ke “panggilan eksternal fungsi callTokensToSend.”

Alamat penyerang: 0xc92ebecda030234c10e149beead6bba61197531a

Contoh tx: 0xf5ea62…

Penyerang pertama-tama menyebarkan kontrak serangan dan mentransfer ke 0,03 RBTC.

Kemudian meminta kontrak serangan untuk meminjam 8,20 RBTC ke tiga pasangan alamat melalui flashloan, lalu menyetorkan seluruh 8,23 RBTC.

Penyerang menggunakan LP untuk meminjam 52.999 side token.

Fungsi closeWithDeposit kemudian dipanggil untuk membayar kembali agunan. 26.900 token samping ditukar dengan 4,17 RBTC. Perhatikan bahwa penyerang mencetak 26.000 side token menjadi 22.653 Load Token, sedangkan pada fungsi closeWithDeposit, tidak ada fungsi mint tersebut.

Kemudian kami menemukan bahwa penyerang menggunakan token samping untuk memanggil kontrak serangan secara eksternal, dan menggunakan kontrak serangan untuk memanggil fungsi mint.

Karena pada fungsi tokenPrice bergantung pada jumlah side token untuk menghitung harga Load token, dan jumlah total token yang saat ini belum diperbarui, mengakibatkan penyerang mendapatkan lebih banyak Load token.

Terakhir, penyerang memanggil fungsi burn untuk membakar 22.653 Load Token untuk mendapatkan 27.086 side token.

Kemudian penyerang memanggil fungsi terkait dalam satu lingkaran untuk mendapatkan token samping, dan akhirnya mengubahnya menjadi RBTC.

Dana yang dicuri disimpan ke dalam uang Tornado.

Pembaruan yang diposting pada 7 Oktober memastikan bahwa tidak ada individu Sovryn yang perlu khawatir, dengan menyatakan bahwa:

Kira-kira setengah dari dana telah pulih sejauh ini

Potensi kerugian pengguna yang tersisa akan sepenuhnya ditanggung oleh Bendahara

Dan lima hari setelah serangan, pengumuman terakhir:

”Semua dana pengguna yang macet di jembatan ETH telah dilepaskan. Hanya ada satu pengecualian [sic]: pengguna menjembatani dalam USDT ke XUSD.”

Tidak ada kekurangan proyek yang berfokus pada BTC di Ethereum, termasuk aset yang dijembatani seperti WBTC/renBTC dan protokol seperti Badger, tetapi skala adopsi Bitcoin tetap rendah.

Bahkan yang terbesar di antaranya, WBTC, dengan TVL ~$5 miliar, nyaris tidak menggores permukaan kapitalisasi pasar Bitcoin senilai $387 miliar.

BTC maxis tidak mempercayai koin mereka untuk dibungkus ke jaringan lain. Banyak yang curiga terhadap Ethereum, DeFi, dan eksperimen apa pun tentang apa yang mereka yakini sebagai cryptocurrency murni.

Kejadian ini hanya akan memberi para bitcoiner lebih banyak alasan untuk berpegang teguh pada emas digital mereka.

Leave a Reply