• O token SONNE da Sonne Finance despencou 60%, para 2,5 centavos, depois que um hack drenou US$ 20 milhões do protocolo de empréstimo descentralizado.

  • Os exploradores usaram um ataque de “doação” para manipular os mercados. O incidente ocorreu na versão blockchain do Optimism; a versão base do blockchain não foi afetada.

  • A exploração aconteceu depois que o protocolo adicionou mercados de tokens para o VELO da Velodrome Finance. O invasor aproveitou um timelock de dois dias para executar quatro transações, criando mercados e adicionando fatores colaterais.

O token SONNE da Sonne Finance caiu depois que os desenvolvedores reconheceram um hack que drenou US$ 20 milhões do protocolo de empréstimo descentralizado na manhã de quarta-feira.

SONNE caiu 60%, para 2,5 centavos, seu nível mais baixo em mais de um ano, reduzindo o valor de mercado para US$ 20 milhões, mesmo depois que os desenvolvedores disseram que conseguiram impedir que US$ 6,5 milhões fossem desviados quando perceberam que o ataque estava acontecendo.

Os exploradores utilizaram um ataque de “doação” para manipular determinados mercados oferecidos pela plataforma, roubando vários tokens antes de serem interrompidos. O incidente ocorreu na plataforma de Sonne na blockchain Optimism. A versão base do blockchain não foi afetada. (Pense nisso como um aplicativo móvel sendo hackeado no Apple iOS, mas permanecendo seguro no Android.)

Como usamos US$ 100 para evitar que mais de US$ 6,5 milhões fossem hackeados no incidente @SonneFinance hoje 🧵🧵 pic.twitter.com/wAzXciJe0x

-Tony KΞ (@tonyke_bot) 15 de maio de 2024

Como a exploração aconteceu

A exploração ocorreu depois que o protocolo adicionou mercados de tokens para o VELO da Velodrome Finance, seguindo uma proposta recente da comunidade. O invasor aproveitou um timelock de dois dias para executar quatro transações, que incluíram a criação de mercados e a adição de fatores colaterais.

Um contrato timelock é um contrato inteligente embutido em um blockchain que executa uma transação em um horário específico, neste caso, dois dias após ter sido bloqueado.

O invasor executou transações doando grandes quantidades de criptomoedas para manipular a taxa de câmbio entre dois tokens. Isso efetivamente enganou a plataforma, fazendo-a acreditar que tinha mais garantias do que realmente disponíveis.

Os dados do Blockchain mostram que o invasor conseguiu transferir milhões de VELO, Ether e USD Coin (USDC) após a manipulação. Mais tarde, eles converteram esse valor em US$ 8 milhões em bitcoin e éter e transferiram os fundos para um novo endereço de carteira no início da Europa.

#PeckShieldAlert @SonneFinance O endereço rotulado como explorador transferiu US$ 7,8 milhões em criptomoedas, incluindo 100 $ WBTC e 556,1 $ ETH, para um novo endereço 0x6277...4c07#Optimismpic.twitter.com/g4oiP5akr4

-PeckShieldAlert (@PeckShieldAlert) 15 de maio de 2024

O protocolo já havia evitado problemas semelhantes adicionando mercados com zero fatores colaterais, adicionando manualmente garantias e removendo-as permanentemente antes que alguém pudesse manipular o mercado.

Em um relatório sobre a exploração, os desenvolvedores disseram que estavam trabalhando para recuperar os fundos roubados e ofereceram uma recompensa pelo hacker.