DeFi协议索林遭受漏洞利用，110万美元被盗

基于比特币的去中心化金融协议Sovaryn周二遭受了重大漏洞利用，黑客从该协议中消耗了110万美元。

黑客利用遗留函数来耗尽协议，在协议的一个借贷池中使用价格操纵技术。

黑客的细节

Sovryn发表了一篇博客文章，详细介绍了这次攻击，该攻击专门针对传统的Sovryn借贷协议，该协议影响了RBTC和USDT借贷池。这次攻击允许黑客从该协议中消耗价值超过100万美元的加密货币，其中还包括211，045 USDT和44.93 RBTC。

RBTC和美元兑美元与比特币和美元挂钩。在Sovryn的情况下，它们基于Rootstock（RSK），这是比特币的侧链，旨在扩展后者的智能合约，分散式应用程序（dApp）和扩展功能。索夫林协议建立在RSK区块链上。黑客攻击的细节由一个名为@web3isgreat的手柄在Twitter上分享，该手柄表示：

“基于比特币的DeFi协议Sovryn因价格操纵攻击而损失了100万美元。一名利用者能够利用该项目的传统借贷功能恶意提取44.93 RBTC（约合915，000美元）和211，045 USDT。

攻击者还使用Sovryn的AMM交换功能提取了一些资金，这意味着他们最终获得了几种不同类型的代币。该博客文章还补充说，追回资金的努力仍在进行中。

“由于采用了多层安全方法，开发人员能够在攻击者试图提取资金时识别和恢复资金。在这一点上，通过共同努力，开发人员已经设法恢复了大约一半的漏洞利用价值。

索林遭受的第一次黑客攻击

根据Sovryn发言人Edan Yago的说法，该漏洞是该协议在其两年的运营中首次成功利用。他接着强调，尽管遭到黑客攻击，Sovryn仍然是最受审计的DeFi系统之一，有几个活跃的漏洞赏金。该漏洞利用操纵了Sovyrn的iToken价格，这是一种有息代币，代表用户在借贷池中持有的加密货币份额。

漏洞利用的工作原理

黑客首先通过交换在交换时通过交换交换购买了 WRBTC（包装的RBTC）。在此之后，黑客从索夫林的贷款合同中借用了WRBTC，利用他们自己的SUSD作为抵押品。博客文章进一步阐述，

“然后，攻击者为RBTC贷款合同提供流动性，使用他们的XUSD抵押品通过交换关闭他们的贷款，赎回（烧毁）他们的irBTC令牌，并将WRBTC发送回RskSwap以完成闪存交换。

这个过程帮助黑客操纵了iToken的价格，使他们能够从目标贷款池中提取比最初存入的更多的RBTC。然而，Sovryn表示，黑客攻击没有以任何方式影响用户资金，贷款池中任何缺失的价值都将通过Sovryn财政部进行补偿。

下一步是什么？

Sovryn还阐明了该协议将如何处理未来的问题。在博客文章中，该公司表示将继续从黑客那里回收资产，并将对漏洞进行全面调查。Sovryn的团队也在制定一项计划，使系统恢复全部功能。但是，它补充说，维护模式将保持不变，直到对系统安全完全有信心为止。它还补充说，一旦调查完成，还将发布一份验尸报告。