DeFi-проект Sonne Finance взломали на $20 млн

Децентрализованный лендинговый протокол Sonne Finance подвергся эксплойту, в результате которого ущерб составил около $20 млн.

Post-mortem on the exploit of Sonne Finance markets on Optimismhttps://t.co/gBXDsl8ucA

— Sonne Finance (@SonneFinance) May 15, 2024

Согласно заявлению, злоумышленник использовал «известную атаку с пожертвованием» на форки Compound v2, одним из которых является Sonne Finance.

В результате взлома команда протокола приостановила его работу на L2-решении Optimism. Осуществление операций на Base продолжается в обычном режиме.

В 2023 году специалисты Compound описали уязвимость, которая позволяет атаковать рынки с низким предложением и ненулевым коэффициентом обеспечения (CF) на второй версии платформы.

По словам экспертов, чтобы извлечь почти полностью каждый актив на протоколе хакеру нужно последовательно повторить во всех случаях несколько шагов:

• создать и профинансировать новый контракт;
• на пустом рынке выпустить залоговые токены и большинство выкупить;
• пожертвовать эти монеты, чтобы поднять обменный курс;
• с помощью этого залога с завышенной стоимостью занять другой актив;
• вернуть пожертвования, выкупив обеспечение;
• ликвидировать контракт заемщика с помощью взятых в кредит средств и выкупить залоговые токены.

Самым простым решением для действующих проектов на базе Compound v2 специалисты назвали установку нулевого CF для новых рынков.

Команда Sonne Finance заверила, что следовала этой рекомендации. Однако при добавлении поддержки протоколом токена VELO запланировала выполнение условий кредитования (c-factors) через два дня.

По словам разработчиков, злоумышленник дождался анлока и произвел четыре транзакции для создания рынков и еще одну для добавления c-factors.

В Sonne Finance подтвердили, что узнали об атаке из предупреждений участников сообщества.

Hi @SonneFinance: Please double check your timelock contract and the loss is now more than $20m.

— PeckShield Inc. (@peckshield) May 15, 2024

Благодаря немедленной реакции удалось предотвратить кражу активов еще примерно на $6,5 млн, заявила команда.

Разработчики добавили, что продолжают «расследование личности хакера», но готовы предложить ему награду за возврат выведенных средств.

Напомним, в апреле криптопроекты потеряли в результате киберпреступлений рекордно низкие ~$27,5 млн, из которых на эксплойты пришлось ~$21 млн, подсчитали в CertiK.