Sonne Finance는 2천만 달러의 공격을 받았고 SONE 토큰은 60% 붕괴되었습니다.

분산형 대출 프로토콜인 Sonne Finance는 2천만 달러 규모의 악용을 경험하여 SONNE 토큰이 60% 하락했습니다. 이 공격은 프로토콜의 컴파운드 v2 포크의 취약점을 악용하여 해커가 시장을 조작하고 이더리움, 벨로, 스테이블코인을 포함한 다양한 토큰을 훔칠 수 있도록 했습니다. Sonne Finance는 Optimism에 대한 운영을 일시 중지했지만 Base의 시장은 영향을 받지 않았으며 프로토콜은 도난당한 자금을 회수하기 위해 노력하고 있습니다.

Sonne Finance Exploited for $20 Million, Native Token SONNE Plummets 60%

Sonne Finance가 2천만 달러에 악용되고 네이티브 토큰 SONNE가 60% 급락

May 15, 2024

2024년 5월 15일

Initial Report

초기 보고서

Sonne Finance, a decentralized lending protocol operating on the Optimism and Base blockchains, has become the victim of a $20 million exploit that has caused its native SONNE token to plummet by a staggering 60%. The attack, executed on Wednesday, leveraged a vulnerability in the protocol's implementation of Compound v2 forks, allowing the perpetrator to manipulate markets and siphon off various tokens, including ether, velo, and stablecoins.

Optimism 및 Base 블록체인에서 운영되는 분산형 대출 프로토콜인 Sonne Finance는 기본 SONNE 토큰을 무려 60%나 폭락시키는 원인이 된 2천만 달러 규모의 공격의 피해자가 되었습니다. 수요일에 실행된 이 공격은 프로토콜의 컴파운드 v2 포크 구현의 취약점을 활용하여 가해자가 시장을 조작하고 이더리움, 벨로, 스테이블 코인을 포함한 다양한 토큰을 빼낼 수 있게 했습니다.

Exploit Details

익스플로잇 세부정보

The attack unfolded as a "donation attack," whereby the perpetrator manipulated the exchange rate between two tokens by inflating the value of donated cryptocurrency. This deception misled the platform into believing it had more collateral than actually available, paving the way for the attacker to withdraw funds unhindered. Blockchain data indicates that the assailant successfully transferred millions of VELO, ether, and USD Coin (USDC) following the manipulation. The attacker subsequently converted $8 million of the stolen funds into bitcoin and ether, transferring them to a newly created wallet address in the early hours of the morning.

이번 공격은 가해자가 기부한 암호화폐의 가치를 부풀려 두 토큰 간의 환율을 조작하는 '기부 공격'으로 전개됐다. 이러한 속임수로 인해 플랫폼은 실제 사용 가능한 것보다 더 많은 담보를 보유하고 있다고 오해하게 되어 공격자가 방해 없이 자금을 인출할 수 있는 길을 열었습니다. 블록체인 데이터에 따르면 공격자는 조작 후 수백만 개의 VELO, 이더리움 및 USD 코인(USDC)을 성공적으로 전송했습니다. 이후 공격자는 훔친 자금 중 800만 달러를 비트코인과 이더리움으로 전환해 이른 아침 시간에 새로 생성된 지갑 주소로 이체했습니다.

Chronology of Events

사건의 연대기

The exploit occurred shortly after Sonne Finance introduced token markets for Velodrome Finance's VELO, a decision prompted by a community proposal. The attacker capitalized on a two-day timelock to execute four transactions, creating markets and assigning collateral factors. Timelocks are smart contracts that automatically execute transactions at a predetermined time, in this case, two days after being activated.

이 공격은 Sonne Finance가 Velodrome Finance의 VELO에 대한 토큰 시장을 도입한 직후에 발생했으며 이는 커뮤니티 제안에 따라 결정되었습니다. 공격자는 2일의 시간 제한을 활용하여 4개의 거래를 실행하고 시장을 생성하고 부수적 요소를 할당했습니다. 타임록은 미리 결정된 시간(이 경우 활성화된 지 2일)에 자동으로 트랜잭션을 실행하는 스마트 계약입니다.

Response and Impact

대응 및 영향

Sonne Finance's developers responded swiftly, mitigating the damage and suspending all markets on the Optimism blockchain. The protocol's markets on the Base blockchain remained operational, as the exploit specifically targeted the Optimism version of the platform. The incident has had a severe impact on the value of SONNE, which has plummeted by 60% to 2.5 cents, reaching its lowest value in over a year. This decline has reduced the token's market cap to $20 million, despite the developers' efforts to prevent the theft of an additional $6.5 million upon discovering the attack.

Sonne Finance의 개발자들은 신속하게 대응하여 피해를 완화하고 Optimism 블록체인의 모든 시장을 중단했습니다. 공격이 특히 플랫폼의 Optimism 버전을 표적으로 삼았기 때문에 Base 블록체인의 프로토콜 시장은 계속 운영되었습니다. 이 사건은 SONNE의 가치에 심각한 영향을 미쳤으며, SONNE의 가치는 60%에서 2.5센트로 급락하여 1년여 만에 최저 수준에 이르렀습니다. 이러한 감소로 인해 공격을 발견한 후 추가로 650만 달러의 도난을 방지하려는 개발자의 노력에도 불구하고 토큰의 시가 총액이 2천만 달러로 감소했습니다.

Stolen Funds and Bounty Offer

도난당한 자금 및 현상금 제안

Sonne Finance has stated that it is actively pursuing the recovery of the stolen funds and has offered a bounty to the attacker in exchange for their return. However, the attacker has already transferred a significant portion of the loot, approximately $7.8 million worth of cryptocurrencies, to a new wallet address, suggesting a lack of willingness to negotiate.

Sonne Finance는 도난당한 자금을 회수하기 위해 적극적으로 노력하고 있으며 공격자에게 자금 반환의 대가로 현상금을 제공했다고 밝혔습니다. 그러나 공격자는 이미 전리품의 상당 부분(약 780만 달러 상당의 암호화폐)을 새 지갑 주소로 옮겼으며, 이는 협상 의지가 부족함을 시사합니다.

Security Concerns and Community Reaction

보안 문제 및 커뮤니티 반응

The exploit has sparked concerns about the security vulnerabilities of decentralized lending protocols and the risks associated with adopting forked versions of existing platforms. Some members of the crypto community have criticized Sonne Finance for relying on Compound v2 despite its known security flaws, with one individual speculating that the exploit may have been a premeditated backdoor.

이 공격은 분산형 대출 프로토콜의 보안 취약성과 기존 플랫폼의 포크된 버전 채택과 관련된 위험에 대한 우려를 불러일으켰습니다. 암호화폐 커뮤니티의 일부 구성원은 Sonne Finance가 알려진 보안 결함에도 불구하고 컴파운드 v2에 의존하고 있다고 비난했으며, 한 개인은 이 악용이 계획된 백도어였을 수 있다고 추측했습니다.

Conclusion

결론

The $20 million exploit targeting Sonne Finance serves as a reminder of the ongoing security challenges faced by decentralized lending protocols. As the industry continues to evolve, protocols must prioritize robust security measures and transparent practices to safeguard user funds. The investigation into this incident is ongoing, and it remains to be seen whether the stolen funds will be recovered and the attacker apprehended.

Sonne Finance를 표적으로 삼은 2천만 달러 규모의 익스플로잇은 분산형 대출 프로토콜이 직면한 지속적인 보안 문제를 상기시켜 줍니다. 업계가 계속 발전함에 따라 프로토콜은 사용자 자금을 보호하기 위해 강력한 보안 조치와 투명한 관행을 우선시해야 합니다. 이번 사건에 대한 조사가 진행 중이며, 도난당한 자금이 회수되고 공격자가 체포될지는 아직 알 수 없습니다.