Piratage DeFi Sonne Finance de 20 millions de dollars : vulnérabilités et exploits révélés

Un crypto-attaquant sophistiqué a exploité l'intégration VELO de Sonne Finance avec le réseau Optimism, drainant environ 20 millions de dollars de l'entreprise sur une période de deux jours. En manipulant le « facteur c » dans le protocole, l'attaquant a exploité les erreurs d'arrondi pour emprunter un montant important de fonds en utilisant une garantie minimale. Le piratage réussi met en évidence l’importance d’audits approfondis du code et de mesures de sécurité robustes dans les environnements financiers décentralisés.

Unraveling the Staggering $20 Million Sonne Finance Hack: A DeFi Odyssey of Vulnerability and Exploitation

Dévoiler le piratage stupéfiant de Sonne Finance de 20 millions de dollars : une odyssée DeFi de vulnérabilité et d'exploitation

In the annals of decentralized finance (DeFi), the recent hack of Sonne Finance stands as a sobering reminder of the potential pitfalls lurking within the burgeoning realm of blockchain technology. A cunning attacker, exploiting a complex vulnerability, managed to siphon approximately $20 million from the company's coffers, casting a shadow over the industry's security landscape.

Dans les annales de la finance décentralisée (DeFi), le récent piratage de Sonne Finance constitue un triste rappel des pièges potentiels qui se cachent dans le domaine en plein essor de la technologie blockchain. Un attaquant astucieux, exploitant une vulnérabilité complexe, a réussi à siphonner environ 20 millions de dollars des coffres de l'entreprise, jetant ainsi une ombre sur le paysage de la sécurité du secteur.

The Path to Compromise: A Multi-Layered Attack

La voie du compromis : une attaque à plusieurs niveaux

The attack played out over several days, with the attacker meticulously targeting the backdoor of Sonne Finance's integration with the Optimism network. This integration, designed to enable VELO transactions on the network, had culminated in a series of transactions orchestrated through the company's multi-signature (multi-sig) wallet.

L'attaque s'est déroulée sur plusieurs jours, l'attaquant ciblant méticuleusement la porte dérobée de l'intégration de Sonne Finance au réseau Optimism. Cette intégration, conçue pour permettre les transactions VELO sur le réseau, a abouti à une série de transactions orchestrées via le portefeuille multi-signature (multi-sig) de l'entreprise.

The multi-sig wallet, however, featured a built-in security measure: a two-day time lock. This delay was intended to provide an additional layer of protection by ensuring that transactions would not be executed immediately.

Le portefeuille multi-signatures comportait cependant une mesure de sécurité intégrée : un verrouillage horaire de deux jours. Ce délai visait à fournir un niveau de protection supplémentaire en garantissant que les transactions ne seraient pas exécutées immédiatement.

A Stealthy Maneuver: Exploiting the "c-Factor"

Une manœuvre furtive : exploiter le « c-Factor »

With the two-day lock period nearing its end, the attacker made a seemingly innocuous move: they transferred a minuscule amount of VELO (0.400000001 wei) to mint a mere 2 wei. This transaction, however, became the catalyst for the subsequent exploit.

Alors que la période de verrouillage de deux jours approchait de sa fin, l'attaquant a pris une décision apparemment anodine : il a transféré une infime quantité de VELO (0,400000001 wei) pour frapper seulement 2 wei. Cette transaction est cependant devenue le catalyseur de l’exploit ultérieur.

Unraveling the System's Imbalance

Démêler le déséquilibre du système

The newly minted soVELO, a derivative token, borrowed a significant amount (35,469,150 VELO) from the AMM liquidity pool. However, surprisingly, this transfer did not result in the minting of additional soVELO tokens, creating a significant imbalance. The total liquidity in the system surged, while the total supply of soVELO remained unchanged at a mere 2 wei.

Le nouveau soVELO, un jeton dérivé, a emprunté un montant important (35 469 150 VELO) au pool de liquidité AMM. Cependant, étonnamment, ce transfert n’a pas abouti à la création de jetons soVELO supplémentaires, créant ainsi un déséquilibre important. La liquidité totale du système a bondi, tandis que l'offre totale de soVELO est restée inchangée à seulement 2 wei.

Leveraging this imbalance, the attacker skillfully exploited a rounding error in the division calculations. This error allowed them to borrow a staggering 265 wei of Wrapped Ethereum (WETH) with just two wei of soVELO as collateral.

Tirant parti de ce déséquilibre, l’attaquant a habilement exploité une erreur d’arrondi dans les calculs de division. Cette erreur leur a permis d’emprunter la somme stupéfiante de 265 wei d’Ethereum enveloppé (WETH) avec seulement deux wei de soVELO en garantie.

A Cascade of Drained Assets

Une cascade d’actifs drainés

The attacker's exploit did not end there. They continued to manipulate the system, draining assets from various sources. The stolen assets included a substantial amount of VELO, WETH, USDC, WBTC, wstETH, and USDT.

L’exploit de l’attaquant ne s’est pas arrêté là. Ils ont continué à manipuler le système, drainant les actifs de diverses sources. Les actifs volés comprenaient une quantité importante de VELO, WETH, USDC, WBTC, wstETH et USDT.

A Wake-Up Call for DeFi Security

Un signal d’alarme pour la sécurité DeFi

The Sonne Finance hack exposes a fundamental flaw in the DeFi ecosystem: the need for rigorous code auditing and robust failsafe mechanisms to protect digital assets. The success of the attack, stemming from a seemingly minor rounding error, underscores the importance of thorough security measures.

Le piratage de Sonne Finance révèle une faille fondamentale dans l'écosystème DeFi : la nécessité d'un audit rigoureux du code et de mécanismes de sécurité robustes pour protéger les actifs numériques. Le succès de l’attaque, dû à une erreur d’arrondi apparemment mineure, souligne l’importance de mesures de sécurité rigoureuses.

Organizations operating in the DeFi space must prioritize the implementation of stringent security protocols, including frequent code auditing, real-time monitoring, and comprehensive risk assessments. Only by embracing a proactive approach to security can the industry mitigate the risks and ensure the long-term viability of DeFi.

Les organisations opérant dans l’espace DeFi doivent donner la priorité à la mise en œuvre de protocoles de sécurité stricts, notamment des audits fréquents du code, une surveillance en temps réel et des évaluations complètes des risques. Ce n’est qu’en adoptant une approche proactive de la sécurité que l’industrie pourra atténuer les risques et garantir la viabilité à long terme de DeFi.