20 Millionen US-Dollar DeFi-Hack von Sonne Finance: Schwachstellen und Exploits aufgedeckt

Ein raffinierter Krypto-Angreifer nutzte die VELO-Integration von Sonne Finance mit dem Optimism-Netzwerk aus und entzog dem Unternehmen innerhalb von zwei Tagen etwa 20 Millionen US-Dollar. Durch die Manipulation des „C-Faktors“ im Protokoll nutzte der Angreifer Rundungsfehler aus, um sich mit minimalen Sicherheiten einen erheblichen Geldbetrag zu leihen. Der erfolgreiche Hack unterstreicht die Bedeutung gründlicher Code-Audits und robuster Sicherheitsmaßnahmen in dezentralen Finanzumgebungen.

Unraveling the Staggering $20 Million Sonne Finance Hack: A DeFi Odyssey of Vulnerability and Exploitation

Den unglaublichen 20-Millionen-Dollar-Sonne-Finance-Hack aufdecken: Eine DeFi-Odyssee voller Verletzlichkeit und Ausbeutung

In the annals of decentralized finance (DeFi), the recent hack of Sonne Finance stands as a sobering reminder of the potential pitfalls lurking within the burgeoning realm of blockchain technology. A cunning attacker, exploiting a complex vulnerability, managed to siphon approximately $20 million from the company's coffers, casting a shadow over the industry's security landscape.

In den Annalen des dezentralen Finanzwesens (DeFi) steht der jüngste Hack von Sonne Finance als ernüchternde Erinnerung an die potenziellen Fallstricke, die im aufkeimenden Bereich der Blockchain-Technologie lauern. Einem raffinierten Angreifer gelang es, durch Ausnutzung einer komplexen Sicherheitslücke rund 20 Millionen US-Dollar aus den Kassen des Unternehmens zu stehlen und damit einen Schatten auf die Sicherheitslandschaft der Branche zu werfen.

The Path to Compromise: A Multi-Layered Attack

Der Weg zum Kompromiss: Ein vielschichtiger Angriff

The attack played out over several days, with the attacker meticulously targeting the backdoor of Sonne Finance's integration with the Optimism network. This integration, designed to enable VELO transactions on the network, had culminated in a series of transactions orchestrated through the company's multi-signature (multi-sig) wallet.

Der Angriff dauerte mehrere Tage, wobei der Angreifer akribisch die Hintertür der Integration von Sonne Finance in das Optimism-Netzwerk ins Visier nahm. Diese Integration, die VELO-Transaktionen im Netzwerk ermöglichen sollte, hatte ihren Höhepunkt in einer Reihe von Transaktionen gefunden, die über die Multi-Signatur-Wallet (Multi-Sig) des Unternehmens orchestriert wurden.

The multi-sig wallet, however, featured a built-in security measure: a two-day time lock. This delay was intended to provide an additional layer of protection by ensuring that transactions would not be executed immediately.

Das Multi-Sig-Wallet verfügte jedoch über eine eingebaute Sicherheitsmaßnahme: eine zweitägige Zeitsperre. Diese Verzögerung sollte einen zusätzlichen Schutz bieten, indem sichergestellt wurde, dass Transaktionen nicht sofort ausgeführt werden.

A Stealthy Maneuver: Exploiting the "c-Factor"

Ein heimliches Manöver: Den „C-Faktor“ ausnutzen

With the two-day lock period nearing its end, the attacker made a seemingly innocuous move: they transferred a minuscule amount of VELO (0.400000001 wei) to mint a mere 2 wei. This transaction, however, became the catalyst for the subsequent exploit.

Als sich die zweitägige Sperrfrist ihrem Ende näherte, unternahm der Angreifer einen scheinbar harmlosen Schritt: Er transferierte eine winzige Menge VELO (0,400000001 Wei), um lediglich 2 Wei zu prägen. Diese Transaktion wurde jedoch zum Auslöser für den darauffolgenden Exploit.

Unraveling the System's Imbalance

Das Ungleichgewicht des Systems aufdecken

The newly minted soVELO, a derivative token, borrowed a significant amount (35,469,150 VELO) from the AMM liquidity pool. However, surprisingly, this transfer did not result in the minting of additional soVELO tokens, creating a significant imbalance. The total liquidity in the system surged, while the total supply of soVELO remained unchanged at a mere 2 wei.

Der neu geprägte soVELO, ein derivativer Token, hat einen erheblichen Betrag (35.469.150 VELO) aus dem AMM-Liquiditätspool geliehen. Überraschenderweise führte diese Übertragung jedoch nicht zur Prägung zusätzlicher soVELO-Token, was zu einem erheblichen Ungleichgewicht führte. Die Gesamtliquidität im System stieg stark an, während das Gesamtangebot an soVELO unverändert bei lediglich 2 Wei blieb.

Leveraging this imbalance, the attacker skillfully exploited a rounding error in the division calculations. This error allowed them to borrow a staggering 265 wei of Wrapped Ethereum (WETH) with just two wei of soVELO as collateral.

Der Angreifer nutzte dieses Ungleichgewicht aus und nutzte geschickt einen Rundungsfehler bei den Divisionsberechnungen aus. Dieser Fehler ermöglichte es ihnen, unglaubliche 265 Wei Wrapped Ethereum (WETH) mit nur zwei Wei soVELO als Sicherheit zu leihen.

A Cascade of Drained Assets

Eine Kaskade erschöpfter Vermögenswerte

The attacker's exploit did not end there. They continued to manipulate the system, draining assets from various sources. The stolen assets included a substantial amount of VELO, WETH, USDC, WBTC, wstETH, and USDT.

Der Exploit des Angreifers endete damit noch nicht. Sie manipulierten weiterhin das System und entzogen Vermögenswerte aus verschiedenen Quellen. Zu den gestohlenen Vermögenswerten gehörten erhebliche Mengen an VELO, WETH, USDC, WBTC, wstETH und USDT.

A Wake-Up Call for DeFi Security

Ein Weckruf für die DeFi-Sicherheit

The Sonne Finance hack exposes a fundamental flaw in the DeFi ecosystem: the need for rigorous code auditing and robust failsafe mechanisms to protect digital assets. The success of the attack, stemming from a seemingly minor rounding error, underscores the importance of thorough security measures.

Der Sonne Finance-Hack deckt einen grundlegenden Fehler im DeFi-Ökosystem auf: die Notwendigkeit einer strengen Codeprüfung und robuster Ausfallsicherheitsmechanismen zum Schutz digitaler Vermögenswerte. Der Erfolg des Angriffs, der auf einen scheinbar geringfügigen Rundungsfehler zurückzuführen ist, unterstreicht die Bedeutung gründlicher Sicherheitsmaßnahmen.

Organizations operating in the DeFi space must prioritize the implementation of stringent security protocols, including frequent code auditing, real-time monitoring, and comprehensive risk assessments. Only by embracing a proactive approach to security can the industry mitigate the risks and ensure the long-term viability of DeFi.

Organisationen, die im DeFi-Bereich tätig sind, müssen der Implementierung strenger Sicherheitsprotokolle Priorität einräumen, einschließlich häufiger Codeprüfungen, Echtzeitüberwachung und umfassender Risikobewertungen. Nur durch einen proaktiven Sicherheitsansatz kann die Branche die Risiken mindern und die langfristige Rentabilität von DeFi sicherstellen.