DeFi-проект Sonne Finance взломали на $20 млн

social network hacking
social network hacking

Децентрализованный лендинговый протокол Sonne Finance подвергся эксплойту, в результате которого ущерб составил около $20 млн.

Согласно заявлению, злоумышленник использовал «известную атаку с пожертвованием» на форки Compound v2, одним из которых является Sonne Finance.

В результате взлома команда протокола приостановила его работу на L2-решении Optimism. Осуществление операций на Base продолжается в обычном режиме.

В 2023 году специалисты Compound описали уязвимость, которая позволяет атаковать рынки с низким предложением и ненулевым коэффициентом обеспечения (CF) на второй версии платформы. 

По словам экспертов, чтобы извлечь почти полностью каждый актив на протоколе хакеру нужно последовательно повторить во всех случаях несколько шагов:

  • создать и профинансировать новый контракт;
  • на пустом рынке выпустить залоговые токены и большинство выкупить;
  • пожертвовать эти монеты, чтобы поднять обменный курс;
  • с помощью этого залога с завышенной стоимостью занять другой актив;
  • вернуть пожертвования, выкупив обеспечение;
  • ликвидировать контракт заемщика с помощью взятых в кредит средств и выкупить залоговые токены.

Самым простым решением для действующих проектов на базе Compound v2 специалисты назвали установку нулевого CF для новых рынков.

Команда Sonne Finance заверила, что следовала этой рекомендации. Однако при добавлении поддержки протоколом токена VELO запланировала выполнение условий кредитования (c-factors) через два дня.

По словам разработчиков, злоумышленник дождался анлока и произвел четыре транзакции для создания рынков и еще одну для добавления c-factors.

В Sonne Finance подтвердили, что узнали об атаке из предупреждений участников сообщества. 

Благодаря немедленной реакции удалось предотвратить кражу активов еще примерно на $6,5 млн, заявила команда.

Разработчики добавили, что продолжают «расследование личности хакера», но готовы предложить ему награду за возврат выведенных средств.

Напомним, в апреле криптопроекты потеряли в результате киберпреступлений рекордно низкие ~$27,5 млн, из которых на эксплойты пришлось ~$21 млн, подсчитали в CertiK.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK