|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
高度な暗号通貨攻撃者が Sonne Finance の VELO と Optimism ネットワークの統合を悪用し、2 日間で同社から約 2,000 万ドルを流出させました。攻撃者はプロトコルの「c-factor」を操作することで丸め誤差を利用し、最小限の担保で多額の資金を借り入れました。ハッキングの成功は、分散型金融環境における徹底的なコード監査と堅牢なセキュリティ対策の重要性を浮き彫りにしました。
Unraveling the Staggering $20 Million Sonne Finance Hack: A DeFi Odyssey of Vulnerability and Exploitation
2,000万ドルもの巨額のゾンネ・ファイナンス・ハッキングを解明:脆弱性と悪用のDeFiの旅
In the annals of decentralized finance (DeFi), the recent hack of Sonne Finance stands as a sobering reminder of the potential pitfalls lurking within the burgeoning realm of blockchain technology. A cunning attacker, exploiting a complex vulnerability, managed to siphon approximately $20 million from the company's coffers, casting a shadow over the industry's security landscape.
分散型金融(DeFi)の歴史の中で、最近の Sonne Finance のハッキングは、ブロックチェーン技術の急成長分野に潜む潜在的な落とし穴を厳粛に思い出させるものとなっています。狡猾な攻撃者が複雑な脆弱性を悪用して、同社の金庫から約 2,000 万ドルを吸い上げ、業界のセキュリティ状況に影を落としました。
The Path to Compromise: A Multi-Layered Attack
侵害への道: 多層攻撃
The attack played out over several days, with the attacker meticulously targeting the backdoor of Sonne Finance's integration with the Optimism network. This integration, designed to enable VELO transactions on the network, had culminated in a series of transactions orchestrated through the company's multi-signature (multi-sig) wallet.
この攻撃は数日間にわたって行われ、攻撃者は Sonne Finance と Optimism ネットワークの統合のバックドアを注意深く標的にしました。この統合は、ネットワーク上で VELO トランザクションを可能にするように設計されており、同社のマルチシグネチャ (マルチシグ) ウォレットを通じて調整された一連のトランザクションで最高潮に達しました。
The multi-sig wallet, however, featured a built-in security measure: a two-day time lock. This delay was intended to provide an additional layer of protection by ensuring that transactions would not be executed immediately.
ただし、マルチシグ ウォレットには、2 日間のタイム ロックというセキュリティ対策が組み込まれていました。この遅延は、トランザクションがすぐに実行されないようにすることで、追加の保護層を提供することを目的としていました。
A Stealthy Maneuver: Exploiting the "c-Factor"
ステルスな作戦: 「c-ファクター」を悪用する
With the two-day lock period nearing its end, the attacker made a seemingly innocuous move: they transferred a minuscule amount of VELO (0.400000001 wei) to mint a mere 2 wei. This transaction, however, became the catalyst for the subsequent exploit.
2 日間のロック期間が終わりに近づく中、攻撃者は一見無害な行動をとりました。わずか 2 ウェイを鋳造するために、極微量の VELO (0.400000001 ウェイ) を送金しました。しかし、この取引はその後の悪用のきっかけとなりました。
Unraveling the System's Imbalance
システムの不均衡を解明する
The newly minted soVELO, a derivative token, borrowed a significant amount (35,469,150 VELO) from the AMM liquidity pool. However, surprisingly, this transfer did not result in the minting of additional soVELO tokens, creating a significant imbalance. The total liquidity in the system surged, while the total supply of soVELO remained unchanged at a mere 2 wei.
新たに発行されたデリバティブ トークンである soVELO は、AMM 流動性プールから多額 (35,469,150 VELO) を借り入れました。しかし、驚くべきことに、この移転によって追加の soVELO トークンが鋳造されることはなく、重大な不均衡が生じました。システム内の総流動性は急増しましたが、soVELO の総供給量はわずか 2 ウェイのままでした。
Leveraging this imbalance, the attacker skillfully exploited a rounding error in the division calculations. This error allowed them to borrow a staggering 265 wei of Wrapped Ethereum (WETH) with just two wei of soVELO as collateral.
この不均衡を利用して、攻撃者は除算計算の丸め誤差を巧みに利用しました。このエラーにより、彼らはわずか 2 ウェイの soVELO を担保として、265 ウェイのラップド イーサリアム (WETH) という驚異的な金額を借りることができました。
A Cascade of Drained Assets
流出した資産の連鎖
The attacker's exploit did not end there. They continued to manipulate the system, draining assets from various sources. The stolen assets included a substantial amount of VELO, WETH, USDC, WBTC, wstETH, and USDT.
攻撃者の悪用はこれで終わりではありませんでした。彼らはシステムを操作し続け、さまざまなソースから資産を流出させました。盗まれた資産には、相当量のVELO、WETH、USDC、WBTC、wstETH、USDTが含まれていました。
A Wake-Up Call for DeFi Security
DeFiセキュリティに対する警鐘
The Sonne Finance hack exposes a fundamental flaw in the DeFi ecosystem: the need for rigorous code auditing and robust failsafe mechanisms to protect digital assets. The success of the attack, stemming from a seemingly minor rounding error, underscores the importance of thorough security measures.
Sonne Finance のハッキングは、デジタル資産を保護するための厳格なコード監査と堅牢なフェイルセーフ メカニズムの必要性という、DeFi エコシステムの根本的な欠陥を明らかにしました。一見些細な丸め誤差に起因する攻撃の成功は、徹底したセキュリティ対策の重要性を浮き彫りにしています。
Organizations operating in the DeFi space must prioritize the implementation of stringent security protocols, including frequent code auditing, real-time monitoring, and comprehensive risk assessments. Only by embracing a proactive approach to security can the industry mitigate the risks and ensure the long-term viability of DeFi.
DeFi 分野で活動する組織は、頻繁なコード監査、リアルタイム監視、包括的なリスク評価など、厳格なセキュリティ プロトコルの実装を優先する必要があります。セキュリティに対する積極的なアプローチを採用することによってのみ、業界はリスクを軽減し、DeFi の長期的な存続可能性を確保することができます。
免責事項:info@kdj.com
提供される情報は取引に関するアドバイスではありません。 kdj.com は、この記事で提供される情報に基づいて行われた投資に対して一切の責任を負いません。暗号通貨は変動性が高いため、十分な調査を行った上で慎重に投資することを強くお勧めします。
このウェブサイトで使用されているコンテンツが著作権を侵害していると思われる場合は、直ちに当社 (info@kdj.com) までご連絡ください。速やかに削除させていただきます。
