Как опытный аналитик, я считаю, что взлом Sonne Finance является пугающим напоминанием о сложностях и уязвимостях, существующих в пространстве децентрализованных финансов (DeFi). Способность злоумышленника эксплуатировать систему и истощать активы на сумму более 20 миллионов долларов является суровым предупреждением о необходимости эффективного аудита кода, надежных средств защиты от сбоев и постоянной бдительности в этой быстро развивающейся экосистеме.
Удивительно, но неопознанному криптохакеру удалось получить доступ к Sonne Finance и реализовать сложную эксплойт, в результате которого в течение нескольких дней были украдены активы компании на сумму около 20 миллионов долларов. Злоумышленник тщательно обнаружил и использовал уязвимость, скрытую в интеграции VELO компании Sonne Finance с сетью Optimism.
Ход забастовки
Согласно подробному отчету, опубликованному CertiK, вредоносная транзакция с участием Sonne Finance длилась два дня, начиная с даты кибератаки. До этого инцидента Sonne Finance провела консенсусное голосование среди своих членов, чтобы разрешить транзакции VELO в блокчейне Optimism. Они завершили все необходимые транзакции, используя свой мультиподписной кошелек, до того, как произошла атака.
Этот кошелек имеет механизм двухдневной задержки, повышающий безопасность за счет отсрочки транзакций на два дня до их обработки.
После завершения двухдневного подсчета я, как злоумышленник, около полудня ввел на рынки «с-фактор». В этот критический момент я, злоумышленник, отправил 400 000 001 вэй токенов VELO (мизерная доля), чтобы отчеканить всего 2 вэй.
Эксплуатация системы
Недавно выпущенный soVELO успешно получил кредит в размере 35 469 150 VELO из пула ликвидности Automated Market Making (AMM) после перевода VELO с чрезмерным обеспечением в контракт soVELO.
Несмотря на то, что в результате перевода не были созданы новые токены soVELO, что привело к несоответствию, общая сумма денежных средств в системе продолжала увеличиваться, в то время как количество токенов soVELO оставалось постоянным на уровне 2 wei.
Как аналитик, я обнаружил, что злоумышленник воспользовался ошибками округления при расчетах деления в смарт-контракте, что позволило ему занять значительно больше Wrapped Ethereum, чем предполагалось, с минимальным залогом в два Wei. В результате этой ошибки злоумышленник получил при погашении 35 471 603 токена VELO вместо ожидаемого 1 VELO. Им удалось добиться этого, выкупив чрезмерное количество токенов всего за 1 вэй soVELO.
Дренажная операция
К этому моменту нападавший еще не успел достаточно остановить атаку. На втором этапе они одновременно использовали 100 Wei VELO в SoVELO, в результате чего общий запас soVELO увеличился до 2 Wei. Применяя эту стратегию, они продолжили эксплуатацию системы и истощили активы из различных источников.
Среди украденных активов были: 2 352,96 VELO, 795,38 WETH, 768 933,76 USD Coin и 2 554 790,21 USDC. Кроме того, было 162 92 упакованных биткойна, 1 667,45 упакованных ETH, 777 566,52 Tether и 1 264 790,21 USDC.
Обнаружение того, что незначительные оплошности при округлении могут открыть путь к триумфу взлома, подчеркивает важность тщательного изучения кода и внедрения надежных мер защиты для защиты цифровых активов в децентрализованных системах.
Также ознакомьтесь: Отчет о взломах криптовалют за первый квартал 2024 года: тенденции, потери и усилия по восстановлению
Смотрите также
- Перспективы рынка криптовалюты PUPS: прогнозы цены PUPS•WORLD•PEACE
- Перспективы рынка криптовалюты CLORE: прогнозы цены Clore.ai
- Перспективы рынка криптовалюты BTC: прогнозы цены биткоина
- Перспективы рынка криптовалюты TOMI: прогнозы цены tomiNet
- Перспективы рынка криптовалюты ARB: прогнозы цены Arbitrum
- Перспективы рынка криптовалюты SUI: прогнозы цены Sui
- Перспективы рынка криптовалюты TON: прогнозы цены Toncoin
- Топ-3 альткоинов, которые стоит купить перед октябрьским ралли криптовалют: SUI, Notcoin и EigenLayer
- Перспективы рынка криптовалюты SAFE: прогнозы цены Safe
- Прогноз курса доллара
2024-05-16 13:22