2천만 달러 규모의 Sonne Finance DeFi 해킹: 취약점 및 익스플로잇 공개

정교한 암호화폐 공격자가 Sonne Finance의 VELO와 Optimism 네트워크의 통합을 악용하여 이틀 동안 회사에서 약 2천만 달러를 빼냈습니다. 공격자는 프로토콜의 "c-인자"를 조작하여 반올림 오류를 활용하여 최소한의 담보를 사용하여 상당한 양의 자금을 빌렸습니다. 성공적인 해킹은 분산형 금융 환경에서 철저한 코드 감사와 강력한 보안 조치의 중요성을 강조합니다.

Unraveling the Staggering $20 Million Sonne Finance Hack: A DeFi Odyssey of Vulnerability and Exploitation

2천만 달러 규모의 Sonne 금융 해킹 해명: 취약성과 착취에 대한 DeFi 오디세이

In the annals of decentralized finance (DeFi), the recent hack of Sonne Finance stands as a sobering reminder of the potential pitfalls lurking within the burgeoning realm of blockchain technology. A cunning attacker, exploiting a complex vulnerability, managed to siphon approximately $20 million from the company's coffers, casting a shadow over the industry's security landscape.

탈중앙화 금융(DeFi)의 역사에서 최근 Sonne Finance 해킹은 급성장하는 블록체인 기술 영역에 숨어 있는 잠재적인 함정을 냉철하게 일깨워줍니다. 복잡한 취약점을 악용하는 교활한 공격자가 회사 금고에서 약 2천만 달러를 빼돌리면서 업계 보안 환경에 그림자를 드리웠습니다.

The Path to Compromise: A Multi-Layered Attack

침해로 가는 길: 다계층 공격

The attack played out over several days, with the attacker meticulously targeting the backdoor of Sonne Finance's integration with the Optimism network. This integration, designed to enable VELO transactions on the network, had culminated in a series of transactions orchestrated through the company's multi-signature (multi-sig) wallet.

공격은 며칠에 걸쳐 진행되었으며, 공격자는 Sonne Finance와 Optimism 네트워크 통합의 백도어를 꼼꼼하게 표적으로 삼았습니다. 네트워크에서 VELO 거래를 가능하게 하도록 설계된 이 통합은 회사의 다중 서명(다중 서명) 지갑을 통해 조정된 일련의 거래로 마무리되었습니다.

The multi-sig wallet, however, featured a built-in security measure: a two-day time lock. This delay was intended to provide an additional layer of protection by ensuring that transactions would not be executed immediately.

그러나 다중 서명 지갑에는 2일 시간 잠금이라는 보안 기능이 내장되어 있습니다. 이러한 지연은 트랜잭션이 즉시 실행되지 않도록 하여 추가적인 보호 계층을 제공하기 위한 것입니다.

A Stealthy Maneuver: Exploiting the "c-Factor"

은밀한 기동: "c-팩터" 활용

With the two-day lock period nearing its end, the attacker made a seemingly innocuous move: they transferred a minuscule amount of VELO (0.400000001 wei) to mint a mere 2 wei. This transaction, however, became the catalyst for the subsequent exploit.

2일간의 잠금 기간이 끝나갈 무렵, 공격자는 겉보기에 무해해 보이는 조치를 취했습니다. 그들은 아주 적은 양의 VELO(0.400000001 wei)를 전송하여 단 2 wei를 발행했습니다. 그러나 이 거래는 후속 악용의 촉매제가 되었습니다.

Unraveling the System's Imbalance

시스템 불균형 해소

The newly minted soVELO, a derivative token, borrowed a significant amount (35,469,150 VELO) from the AMM liquidity pool. However, surprisingly, this transfer did not result in the minting of additional soVELO tokens, creating a significant imbalance. The total liquidity in the system surged, while the total supply of soVELO remained unchanged at a mere 2 wei.

새로 발행된 파생 토큰인 soVELO는 AMM 유동성 풀에서 상당한 금액(35,469,150 VELO)을 빌렸습니다. 그러나 놀랍게도 이 전송으로 인해 추가 soVELO 토큰이 발행되지 않아 심각한 불균형이 발생했습니다. 시스템의 총 유동성이 급증한 반면, soVELO의 총 공급량은 2wei에 불과했습니다.

Leveraging this imbalance, the attacker skillfully exploited a rounding error in the division calculations. This error allowed them to borrow a staggering 265 wei of Wrapped Ethereum (WETH) with just two wei of soVELO as collateral.

이러한 불균형을 활용하여 공격자는 나눗셈 계산에서 반올림 오류를 교묘하게 활용했습니다. 이 오류로 인해 SoVELO 2웨이를 담보로 하여 WETH(Wrapped Ethereum) 265웨이를 빌릴 수 있었습니다.

A Cascade of Drained Assets

고갈된 자산의 폭포

The attacker's exploit did not end there. They continued to manipulate the system, draining assets from various sources. The stolen assets included a substantial amount of VELO, WETH, USDC, WBTC, wstETH, and USDT.

공격자의 공격은 여기서 끝나지 않았습니다. 그들은 계속해서 시스템을 조작하여 다양한 소스에서 자산을 빼냈습니다. 도난당한 자산에는 상당량의 VELO, WETH, USDC, WBTC, wstETH 및 USDT가 포함되었습니다.

A Wake-Up Call for DeFi Security

DeFi 보안을 위한 모닝콜

The Sonne Finance hack exposes a fundamental flaw in the DeFi ecosystem: the need for rigorous code auditing and robust failsafe mechanisms to protect digital assets. The success of the attack, stemming from a seemingly minor rounding error, underscores the importance of thorough security measures.

Sonne Finance 해킹은 DeFi 생태계의 근본적인 결함, 즉 디지털 자산을 보호하기 위한 엄격한 코드 감사와 강력한 안전 장치 메커니즘의 필요성을 드러냈습니다. 사소해 보이는 반올림 오류에서 비롯된 공격의 성공은 철저한 보안 조치의 중요성을 강조합니다.

Organizations operating in the DeFi space must prioritize the implementation of stringent security protocols, including frequent code auditing, real-time monitoring, and comprehensive risk assessments. Only by embracing a proactive approach to security can the industry mitigate the risks and ensure the long-term viability of DeFi.

DeFi 공간에서 운영되는 조직은 빈번한 코드 감사, 실시간 모니터링 및 포괄적인 위험 평가를 포함하여 엄격한 보안 프로토콜의 구현을 우선시해야 합니다. 보안에 대한 사전 예방적 접근 방식을 채택해야만 업계가 위험을 완화하고 DeFi의 장기적인 생존 가능성을 보장할 수 있습니다.