DeFi-проєкт Sonne Finance зламали на $20 млн

Децентралізований лендінговий протокол Sonne Finance зазнав атаки, унаслідок якої збитки склали близько $20 млн.

Згідно із заявою, зловмисник використовував «відому атаку з пожертвуванням» на форки Compound v2, одним із яких є Sonne Finance.

У результаті злому команда протоколу призупинила його роботу на L2-рішенні Optimism. Здійснення операцій на Base триває у звичайному режимі.

У 2023 році фахівці Compound описали вразливість, яка дає змогу атакувати ринки з низькою пропозицією і ненульовим коефіцієнтом забезпечення (CF) на другій версії платформи.

За словами експертів, щоб витягти майже повністю кожен актив на протоколі, хакеру потрібно послідовно повторити у всіх випадках кілька кроків:

  • створити і профінансувати новий контракт;
  • на порожньому ринку випустити заставні токени і більшість викупити;
  • пожертвувати ці монети, щоб підняти обмінний курс;
  • за допомогою цієї застави із завищеною вартістю позичити інший актив;
  • повернути пожертвування, викупивши забезпечення;
  • ліквідувати контракт позичальника за допомогою взятих у кредит коштів і викупити заставні токени.

Найпростішим рішенням для діючих проєктів на базі Compound v2 фахівці назвали встановлення нульового CF для нових ринків.

Команда Sonne Finance запевнила, що дотримувалася цієї рекомендації. Однак при додаванні підтримки протоколом токена VELO запланувала виконання умов кредитування (c-factors) через два дні.

За словами розробників, зловмисник дочекався анлоку і здійснив чотири транзакції для створення ринків і ще одну для додавання c-factors.

У Sonne Finance підтвердили, що дізналися про атаку з попереджень учасників спільноти.

Завдяки негайній реакції вдалося запобігти крадіжці активів ще приблизно на $6,5 млн, заявила команда.

Розробники додали, що продовжують «розслідування особи хакера», але готові запропонувати йому нагороду за повернення виведених коштів.

Нагадаємо, у квітні криптопроєкти втратили внаслідок кіберзлочинів рекордно низькі ~$27,5 млн, з яких на атаки припало ~$21 млн, підрахували в CertiK.

Читайте ForkLog UA в соціальних мережах

Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER

Матеріали за темою

Ми використовуємо файли cookie для покращення якості роботи.

Користуючись сайтом, ви погоджуєтесь з Політикою приватності.

OK
Exit mobile version