44,93 RBTC et 211 045 USDT. C’est le butin qu’a réussi à dérober un hacker sur le protocole Sovryn. Ce dernier, hébergé par la blockchain Rootstock, est l’un des premiers protocoles DeFi sur Bitcoin et Lightning Network. Une mauvaise nouvelle pour un protocole qui avait traversé ses deux premières années sans encombre et avec un réel succès.
Une vulnérabilité dans le protocole de Lending de Sovryn
Sovryn permet d’emprunter du RSK Smart Bitcoin (RBTC), un jeton indexé sur le bitcoin, en déposant des cryptomonnaies en garantie. L’attaquant aurait donc commencé par déposer des XUSD en garantie pour emprunter des WRBTC, une version “wrappée” du RBTC.
Parallèlement, il a également acheté une certaine quantité de WRBTC par le biais d’un échange flash sur RskSwap, l’un des exchanges décentralisés de la blockchain Rootstock (RSK).
Il a ensuite apporté ses WRBTC au pool de liquidités RBTC de Sovryn, en échange desquels il a reçu des jetons de liquidité iRBTC. Il a ensuite clôturé son emprunt en utilisant ses iRBTC échangés contre des XUSD, récupéré les WRBTC apportés (par le rachat d’iRBTC), puis renvoyé les WRBTC récupérés à RskSwap pour clôturer l’échange flash.
Une va-et-vient contre-intuitif, vraisemblablement parce que le hacker a détecté la vulnérabilité en amont, qui a eu pour conséquence de manipulé le prix de l’iRBTC (le jeton émis aux apporteurs de liquidités et donnant droit à des intérêts). Résultat : il a pu retirer beaucoup plus de WRBTC qu’il n’en avait initialement déposé !
Il a également reproduit l’attaque sur un pool de liquidités USDT.
Au final, le butin s’élève à 44,93 WRBTC et 211 045 USDT.
Sovryn va renflouer les pools de liquidités affectés par le hack, aucun impact pour les utilisateurs
Edan Yago, porte-parole de Sovryn, indique qu’il s’agit du premier hacker ayant réussi à siphonner des fonds sur le protocole depuis son lancement en avril 2021. Il s’est voulu rassurant en indiquant que les fonds volés seront “réinjectés par Exchequer – la trésorerie de la DAO de Sovryn”.
Autre point rassurant : la moitié des fonds aurait été récupérée par les développeurs.
Grâce à l’approche de sécurité multicouche adoptée, les développeurs ont pu identifier et récupérer des fonds alors que l’attaquant tentait de retirer les fonds. (…) À ce stade, grâce à un effort combiné, les développeurs ont réussi à récupérer environ la moitié de la valeur de l’exploit.
Sovryn : premier véritable protocole de finance décentralisée sur Bitcoin
Il est ironique que la dernière fois que nous avions entendu parler de Sovryn, c’était pour une compétition de 500 000 $ organisée pour booster la … sécurité de la plateforme. 250 000 $ étaient décernés aux participants chargés de trouver les failles de sécurité – à charge pour les développeurs de les corriger.
Lancée en avril 2021, Sovryn fut la toute première application financière sur la blockchain Rootstock. De fait, ce fut également l’une des premières applications de finance décentralisée sur le réseau Bitcoin et sa seconde couche Lightning Network.
Rootstock est un fork (copie du code avec de légères modifications, ndlr) d’Ethereum. Elle utilise la preuve de travail, comme Bitcoin et l’ancien Ethereum, pour sécuriser ses transactions et créer son jeton RSK.
Rootstock permet donc de créer et faire fonctionner des applications et des smart contracts.
Ce qui est unique à propos de Rootstock, c’est sa “cheville à 2 voies” qui la relie au réseau Bitcoin. En effet, les mineurs de BTC peuvent simultanément miner des RSK. Les données du réseau montrent qu’actuellement 52% des mineurs de Bitcoin exploitent aussi Rootstock. Ce qui en fait aussi l’une des blockchains les plus sécurisées !
Sovryn, un protocole DeFi inspiré d’Uniswap
Sovryn a été conçu sur la base d’Uniswap, dont le code est rappelons-le public et ouvert à tous. La plupart de ses fonctionnalités sont donc inspirées du célèbre protocole d’Ethereum :
👉🏻 Trading avec effet de levier : Sovryn possède une interface de trading pour trader les associant le jeton rBTC, le stablecoin XUSD, le jeton de gouvernance SOV avec un effet de levier jusqu’à 5x.
👉🏻 Echanges et conversions au comptant : entre 11 actifs incluant toujours rBTC, rUSDT, BNB, ETH et SOV. Le tout à la manière des exchanges décentralisés que nous connaissons.
👉🏻 Staking et farming : permettant aux utilisateurs de récolter environ 50% par an sur les paires BTC/XUSD et SOV/BTC, et 10% sur la paire BTC/USDT.
👉🏻 Emprunts et prêts : permettant d’emprunter du BTC en déposant un collatéral d’au moins 130% en stablecoins.
En tout près de 50 millions de dollars sont immobilisés sur Sovryn en prêts et autres contrats. Des fonds supplémentaires de 200 millions de dollars en SOV sont confiés à la DAO Bitocracy sur son contrat de staking.
L’avenir de Sovryn n’est donc pas menacé. Il aurait été dommage de voir disparaître le premier protocole qui avait réussi à amener la DeFi sur Bitcoin, prouvant que ces deux ne sont finalement pas incompatibles.
Share
Jérôme Moreau
Rédacteur
