Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 109Manipulación de oráculo

Manipulación del pool de préstamos de Sovryn

Drenaron $1,1M de Sovryn, un protocolo Bitcoin-DeFi en RSK, vía manipulación de precios AMM/oráculo que permitió endeudarse contra colateral inflado.

Fecha
Víctima
Sovryn
Cadena(s)
RSK
Estado
Parcialmente recuperado

El 21 de octubre de 2022, Sovryn — un protocolo DeFi construido sobre RSK (Rootstock), la plataforma de contratos inteligentes sidechain de Bitcoin — perdió aproximadamente $1,1 millones mediante un ataque de manipulación de precios sobre su pool de préstamos. El atacante manipuló el feed de precios derivado del AMM que Sovryn usaba para valorar el colateral, y luego se endeudó contra el valor inflado.

Qué ocurrió

Sovryn proporciona trading de márgenes, préstamos y funcionalidad AMM en RSK, con activos puenteados desde Bitcoin. Sus mercados de préstamos valoraban el colateral usando precios derivados de AMM de los propios pools de liquidez de Sovryn.

El ataque siguió el patrón canónico de manipulación de oráculo:

  1. El atacante manipuló el precio relevante del pool AMM de Sovryn operando sobre él con suficiente capital.
  2. La valoración del colateral del mercado de préstamos, leyendo el precio manipulado del pool, sobrevaloró el colateral del atacante.
  3. El atacante pidió prestados los activos disponibles del pool contra la valoración inflada.
  4. Total extraído: aproximadamente $1,1M en RBTC y otros activos.

Una porción de los fondos fue recuperada gracias a la respuesta y coordinación del protocolo; la pérdida neta realizada fue menor que el drenaje bruto.

Consecuencias

  • Sovryn pausó los pools de préstamos afectados y publicó un post-mortem.
  • El equipo implementó endurecimiento del oráculo y compensación parcial a usuarios.
  • Sovryn es uno de los relativamente pocos protocolos del catálogo operando en RSK — una sidechain de Bitcoin comparativamente de baja actividad — lo que ilustra que los modos de fallo de seguridad DeFi son agnósticos a la cadena.

Por qué importa

El incidente de Sovryn es una entrada pequeña pero representativa que demuestra que el manual de manipulación de oráculo se aplica de forma idéntica en cada cadena, incluyendo sidechains adyacentes a Bitcoin de baja actividad. El mismo patrón estructural que drenó Cream Finance en Ethereum, Vee Finance en Avalanche, Moola Market en Celo y Lodestar en Arbitrum, se aplicó igualmente a Sovryn en RSK: un mercado de préstamos que valora colateral desde un pool on-chain manipulable es explotable por cualquiera que pueda mover ese pool.

La lección más amplia que el catálogo sigue reforzando a través de estos pequeños incidentes geográficamente diversos: el conocimiento de seguridad DeFi no se propaga automáticamente a través de los ecosistemas. Los constructores DeFi de cada cadena tienden a reaprender la manipulación de oráculo, la reentrada y los bugs de control de acceso de forma independiente — el pequeño ecosistema de RSK no menos que los más grandes. El coste es un impuesto recurrente, cadena por cadena, pagado en fondos reales de usuarios, por lecciones que ya estaban documentadas y disponibles libremente antes de que se lanzara el código vulnerable.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-sovryn-hack-october-2022
  2. [02]cryptopotato.comhttps://cryptopotato.com/bitcoin-defi-protocol-sovryn-gets-hacked-for-over-1-million/
  3. [03]rekt.newshttps://rekt.news/sovryn-rekt

Registros relacionados