Chaos malsain et créatif – Sovryn, un protocole de prêt et d’emprunt établi sur Bitcoin (BTC), a été victime d’une attaque, dont la facture s’élève à sept chiffres pour la plateforme et ses utilisateurs.
Hack de Sovryn : un cocktail complexe d’opérations simples, pour un butin conséquent en RBTC et en USDT
Le 4 octobre dernier, le protocole DeFi Sovryn a été victime d’une attaque qui a coûté plus d’un million de dollars en cryptomonnaies à la plateforme. Sovryn est construit sur la sidechain RSK de Bitcoin. Ses utilisateurs peuvent emprunter du RSK Smart Bitcoin (RBTC), un token qui est indexé à Bitcoin.
La plateforme n’a pas tardé à publier une mise à jour pour fournir de plus amples détails sur cet exploit. En quelques mots et de manière simple, le mode opératoire est un cocktail complexe de transactions, combinant diverses opérations classiques pour un investisseur crypto.
La méthode est constituée de plusieurs va-et-vient : de dépôt de garantie pour emprunter des cryptomonnaies, d’achat de tokens, d’approvisionnement de pool de liquidité, de clôture d’emprunt, et d’autres mouvements, entre différents protocoles.
Toute cette agitation visait à exploiter une vulnérabilité pour manipuler le prix des iRBTC, qui sont des iTokens offerts aux fournisseurs de liquidités dans un pool de prêts. Ces iRBTC représentant la part des cryptomonnaies qu’ils détiennent dans le pool de prêt, et leur donnent droit à des intérêts.
Cette manipulation du prix des iRBTC a finalement permis à l’attaquant de retirer une quantité supérieure de RBTC, par rapport à son dépôt initial dans le pool. L’exploit a surtout touché les pools de prêt BRTC et USDT. Le butin comprend notamment 44,93 RBTC et 211 045 USDT.
Selon Sovryn, les développeurs auraient tout de même « réussi à récupérer environ la moitié de la valeur de l’exploit ». Sans surprise, le porte-parole du protocole, Edan Yago, a tenté de nuancer l’importance de cette attaque pour s’assurer de la confiance des utilisateurs, en rappelant qu’il s’agit du premier exploit réussi contre Sovryn, depuis ses deux ans de fonctionnement.
Sovryn a en outre affirmé que sa trésorerie, Exchequer, « réinjectera toute valeur manquante dans les pools de prêts. En d’autres termes, le protocole s’engage ainsi à rembourser les tokens perdus, dus à cette attaque.
Les protocoles cryptos doivent renforcer de plus en plus leur sécurité, face à des hackers particulièrement motivés et qui font preuve d’ingéniosité. Quelques jours après l’attaque de Sovryn, les hackers s’en sont pris à la Binance Smart Chain (BSC).
