Sonne Finance は 2,000 万ドルの攻撃を受け、SONE トークンは 60% 暴落しました

分散型融資プロトコルである Sonne Finance は 2,000 万ドルの悪用を受け、SONNE トークンが 60% 下落しました。この攻撃では、プロトコルの Compound v2 フォークの脆弱性が悪用され、ハッカーが市場を操作して、イーサ、ベロ、ステーブルコインなどのさまざまなトークンを盗むことが可能になりました。 Sonne Finance は Optimism での業務を一時停止したが、Base の市場には影響はなく、プロトコルは盗まれた資金の回収に取り組んでいる。

Sonne Finance Exploited for $20 Million, Native Token SONNE Plummets 60%

Sonne Financeが2000万ドル搾取、ネイティブトークンSONNEが60％急落

May 15, 2024

2024 年 5 月 15 日

Initial Report

初期レポート

Sonne Finance, a decentralized lending protocol operating on the Optimism and Base blockchains, has become the victim of a $20 million exploit that has caused its native SONNE token to plummet by a staggering 60%. The attack, executed on Wednesday, leveraged a vulnerability in the protocol's implementation of Compound v2 forks, allowing the perpetrator to manipulate markets and siphon off various tokens, including ether, velo, and stablecoins.

Optimism および Base ブロックチェーン上で動作する分散型融資プロトコルである Sonne Finance は、ネイティブ SONNE トークンを 60% という驚異的な急落を引き起こした 2,000 万ドルのエクスプロイトの被害者になりました。水曜日に実行されたこの攻撃は、プロトコルの Compound v2 フォーク実装の脆弱性を悪用し、実行者が市場を操作し、イーサ、ベロ、ステーブルコインなどのさまざまなトークンを吸い上げることを可能にしました。

Exploit Details

エクスプロイトの詳細

The attack unfolded as a "donation attack," whereby the perpetrator manipulated the exchange rate between two tokens by inflating the value of donated cryptocurrency. This deception misled the platform into believing it had more collateral than actually available, paving the way for the attacker to withdraw funds unhindered. Blockchain data indicates that the assailant successfully transferred millions of VELO, ether, and USD Coin (USDC) following the manipulation. The attacker subsequently converted $8 million of the stolen funds into bitcoin and ether, transferring them to a newly created wallet address in the early hours of the morning.

この攻撃は「寄付攻撃」として展開され、実行者は寄付された仮想通貨の価値をつり上げることで 2 つのトークン間の交換レートを操作しました。この欺瞞により、プラットフォームは実際に利用可能な以上の担保があると信じ込まされ、攻撃者が妨げられずに資金を引き出す道が開かれました。ブロックチェーン データは、攻撃者が操作後に数百万の VELO、イーサ、USD コイン (USDC) の送金に成功したことを示しています。その後、攻撃者は盗んだ資金のうち 800 万ドルをビットコインとイーサに変換し、早朝に新しく作成したウォレット アドレスに送金しました。

Chronology of Events

出来事の年表

The exploit occurred shortly after Sonne Finance introduced token markets for Velodrome Finance's VELO, a decision prompted by a community proposal. The attacker capitalized on a two-day timelock to execute four transactions, creating markets and assigning collateral factors. Timelocks are smart contracts that automatically execute transactions at a predetermined time, in this case, two days after being activated.

このエクスプロイトは、Sonne Finance がベロドローム ファイナンスの VELO にトークン マーケットを導入した直後に発生しました。これはコミュニティの提案による決定でした。攻撃者は 2 日間のタイムロックを利用して 4 つのトランザクションを実行し、市場を作成し、担保要素を割り当てました。タイムロックは、事前に設定された時間 (この場合は有効化されてから 2 日後) にトランザクションを自動的に実行するスマート コントラクトです。

Response and Impact

対応と影響

Sonne Finance's developers responded swiftly, mitigating the damage and suspending all markets on the Optimism blockchain. The protocol's markets on the Base blockchain remained operational, as the exploit specifically targeted the Optimism version of the platform. The incident has had a severe impact on the value of SONNE, which has plummeted by 60% to 2.5 cents, reaching its lowest value in over a year. This decline has reduced the token's market cap to $20 million, despite the developers' efforts to prevent the theft of an additional $6.5 million upon discovering the attack.

Sonne Finance の開発者は迅速に対応し、被害を軽減し、Optimism ブロックチェーン上のすべての市場を停止しました。このエクスプロイトはプラットフォームの Optimism バージョンを特に標的としていたため、Base ブロックチェーン上のプロトコルの市場は引き続き稼働しました。この事件はSONNEの価値に深刻な影響を及ぼし、SONNEの価値は60％急落し2.5セントとなり、1年以上で最低価格に達した。攻撃発見時にさらに650万ドルの盗難を阻止しようとした開発者の努力にもかかわらず、この下落によりトークンの時価総額は2,000万ドルに減少した。

Stolen Funds and Bounty Offer

盗まれた資金と報奨金のオファー

Sonne Finance has stated that it is actively pursuing the recovery of the stolen funds and has offered a bounty to the attacker in exchange for their return. However, the attacker has already transferred a significant portion of the loot, approximately $7.8 million worth of cryptocurrencies, to a new wallet address, suggesting a lack of willingness to negotiate.

Sonne Finance は、盗まれた資金の回収を積極的に進めており、資金の返還と引き換えに攻撃者に報奨金を提供していると述べた。しかし、攻撃者はすでに略奪品のかなりの部分、約780万ドル相当の仮想通貨を新しいウォレットアドレスに移しており、交渉の意欲の欠如を示唆している。

Security Concerns and Community Reaction

セキュリティ上の懸念とコミュニティの反応

The exploit has sparked concerns about the security vulnerabilities of decentralized lending protocols and the risks associated with adopting forked versions of existing platforms. Some members of the crypto community have criticized Sonne Finance for relying on Compound v2 despite its known security flaws, with one individual speculating that the exploit may have been a premeditated backdoor.

このエクスプロイトは、分散型融資プロトコルのセキュリティの脆弱性と、既存のプラットフォームのフォークされたバージョンの採用に伴うリスクについての懸念を引き起こしました。暗号通貨コミュニティの一部のメンバーは、既知のセキュリティ上の欠陥があるにもかかわらず、Sonne Finance が Compound v2 に依存していることを批判しており、ある個人は、このエクスプロイトが計画的なバックドアであった可能性があると推測しています。

Conclusion

結論

The $20 million exploit targeting Sonne Finance serves as a reminder of the ongoing security challenges faced by decentralized lending protocols. As the industry continues to evolve, protocols must prioritize robust security measures and transparent practices to safeguard user funds. The investigation into this incident is ongoing, and it remains to be seen whether the stolen funds will be recovered and the attacker apprehended.

Sonne Finance を標的とした 2,000 万ドルのエクスプロイトは、分散型融資プロトコルが直面している継続的なセキュリティ課題を思い出させるものとなっています。業界が進化し続けるにつれて、プロトコルはユーザーの資金を保護するために堅牢なセキュリティ対策と透明性のある実践を優先する必要があります。この事件の捜査は進行中であるが、盗まれた資金が回収され、攻撃者が逮捕されるかどうかはまだ分からない。