• Токен SONNE компанії Sonne Finance різко впав на 60% до 2,5 центів після того, як хакерська атака витягла 20 мільйонів доларів із протоколу децентралізованого кредитування.

  • Експлуататори використовували атаку «пожертвування», щоб маніпулювати ринками. Інцидент стався на версії блокчейну Optimism; базова версія блокчейну не вплинула.

  • Експлойт стався після того, як протокол додав ринки токенів для VELO Velodrome Finance. Зловмисник скористався дводенним тимчасовим блокуванням, щоб виконати чотири транзакції, створивши ринки та додавши фактори застави.

Токен SONNE компанії Sonne Finance впав після того, як розробники визнали злом, який вивів 20 мільйонів доларів із протоколу децентралізованого кредитування вранці в середу.

SONNE впав на 60% до 2,5 центів, найнижчого рівня за рік, скоротивши ринкову капіталізацію до 20 мільйонів доларів навіть після того, як розробники заявили, що змогли зупинити виведення 6,5 мільйонів доларів, коли вони зрозуміли, що відбувається атака.

Експлуататори використовували атаку «пожертвування», щоб маніпулювати певними ринками, пропонованими платформою, викрадаючи різні токени, перш ніж їх перервати. Інцидент стався на платформі Сонне в блокчейні Optimism. Базова версія блокчейну не постраждала. (Уявіть це як мобільну програму, яку зламали на Apple iOS, але залишалися в безпеці на Android.)

Як ми використали 100 доларів США, щоб запобігти злому понад 6,5 мільйонів доларів США під час сьогоднішнього інциденту @SonneFinance 🧵🧵 pic.twitter.com/wAzXciJe0x

— Тоні KΞ (@tonyke_bot) 15 травня 2024 р

Як стався експлойт

Експлойт стався після того, як протокол додав ринки токенів для VELO Velodrome Finance після нещодавньої пропозиції спільноти. Зловмисник скористався дводенним тимчасовим блокуванням, щоб виконати чотири транзакції, які включали створення ринків і додавання факторів застави.

Контракт із блокуванням часу — це розумний контракт, вбудований у блокчейн, який виконує транзакцію в певний час, у даному випадку через два дні після того, як її було заблоковано.

Зловмисник здійснював транзакції, жертвуючи великі суми криптовалюти, щоб маніпулювати обмінним курсом між двома токенами. Це фактично змусило платформу повірити, що вона має більше застави, ніж було насправді.

Дані блокчейну показують, що зловмиснику вдалося перевести мільйони VELO, ефіру та USD Coin (USDC) після маніпуляції. Пізніше вони конвертували це в 8 мільйонів доларів у біткойнах та ефірі та перевели кошти на нову адресу гаманця в перші години в Європі.

Адреса#PeckShieldAlert@SonneFinance, позначена як експлуататор, перевела криптовалюти на суму 7,8 мільйона доларів, включаючи 100 доларів WBTC і 556,1 доларів ETH, на нову адресу 0x6277...4c07#Optimismpic.twitter.com/g4oiP5akr4

— PeckShieldAlert (@PeckShieldAlert) 15 травня 2024 р.

Раніше протокол уникав подібних проблем, додаючи ринки з нульовими факторами застави, додаючи заставу вручну та назавжди видаляючи її, перш ніж хтось міг маніпулювати ринком.

У звіті про експлойт розробники заявили, що працюють над поверненням вкрадених коштів, і призначили винагороду для хакера.