Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 109Oracle-Manipulation

Sovryn Lending-Pool-Manipulation

1,1 Mio. $ aus Sovryn, einem Bitcoin-DeFi-Protokoll auf RSK, abgezogen über AMM/Orakel-Preismanipulation, die Kredite gegen aufgeblähte Sicherheit ermöglichte.

Datum
Opfer
Sovryn
Chain(s)
RSK
Status
Teilweise zurückerlangt

Am 21. Oktober 2022 verlor Sovryn — ein DeFi-Protokoll auf RSK (Rootstock), der Bitcoin-Sidechain-Smart-Contract-Plattform — rund 1,1 Millionen Dollar durch einen Preismanipulationsangriff auf seinen Lending-Pool. Der Angreifer manipulierte den AMM-abgeleiteten Preis-Feed, den Sovryn für die Bewertung von Sicherheiten verwendete, und nahm dann Kredite gegen den aufgeblähten Wert auf.

Was geschah

Sovryn bietet Margin-Trading, Lending- und AMM-Funktionalität auf RSK, mit Vermögenswerten, die von Bitcoin gebrückt werden. Seine Lending-Märkte bewerteten Sicherheiten mit AMM-abgeleiteten Preisen aus Sovryns eigenen Liquiditätspools.

Der Angriff folgte dem kanonischen Orakel-Manipulationsmuster:

  1. Der Angreifer manipulierte den relevanten Sovryn-AMM-Pool-Preis, indem er mit ausreichendem Kapital hineintauschte.
  2. Die Sicherheiten-Bewertung des Lending-Marktes, die den manipulierten Pool-Preis las, überbewertete die Sicherheit des Angreifers.
  3. Der Angreifer lieh die verfügbaren Vermögenswerte des Pools gegen die aufgeblähte Bewertung aus.
  4. Insgesamt extrahiert: rund 1,1 Mio. $ in RBTC und anderen Vermögenswerten.

Ein Teil der Mittel wurde durch die Reaktion und Koordination des Protokolls zurückgeholt; der realisierte Nettoverlust war geringer als der Brutto-Drain.

Nachwirkungen

  • Sovryn pausierte betroffene Lending-Pools und veröffentlichte eine Post-Mortem.
  • Das Team implementierte Orakel-Härtung und teilweise Nutzerkompensation.
  • Sovryn ist eines der relativ wenigen Protokolle im Katalog, das auf RSK läuft — einer vergleichsweise wenig aktiven Bitcoin-Sidechain — und illustriert, dass die DeFi-Sicherheitsfehlermodi chain-unabhängig sind.

Warum es zählt

Der Sovryn-Vorfall ist ein kleiner, aber repräsentativer Eintrag, der zeigt, dass das Orakel-Manipulationsplaybook auf jeder Chain identisch gilt, einschließlich wenig aktiver Bitcoin-naher Sidechains. Dasselbe strukturelle Muster, das Cream Finance auf Ethereum, Vee Finance auf Avalanche, Moola Market auf Celo und Lodestar auf Arbitrum geleert hat, galt gleichermaßen für Sovryn auf RSK: Ein Lending-Markt, der Sicherheiten aus einem manipulierbaren On-Chain-Pool bewertet, ist von jedem ausnutzbar, der diesen Pool bewegen kann.

Die breitere Lehre, die der Katalog durch diese geografisch vielfältigen kleinen Vorfälle immer wieder verstärkt: DeFi-Sicherheitswissen verbreitet sich nicht automatisch über Ökosysteme hinweg. Die DeFi-Entwickler jeder Chain neigen dazu, Orakel-Manipulation, Reentrancy und Access-Control-Bugs unabhängig wieder zu lernen — RSKs kleines Ökosystem nicht weniger als die größeren. Die Kosten sind eine wiederkehrende, chain-für-chain Steuer, gezahlt in echten Nutzergeldern, für Lektionen, die bereits dokumentiert und frei verfügbar waren, bevor der anfällige Code ausgeliefert wurde.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-sovryn-hack-october-2022
  2. [02]cryptopotato.comhttps://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/
  3. [03]rekt.newshttps://rekt.news/sovryn-rekt

Verwandte Einträge