Sonne Finance - Rekt
La alarma ha sonado en Sonne Finance, ya que un ataque de flash loan de $20 millones resuena en todo el criptomundo, entonando una melodía sombría que advierte sobre los peligros que acechan en las sombras de DeFi.
Nerv Alert sonó la alarma el martes por la noche, detectando inicialmente una pérdida de 3 millones de dólares.
Sonne hizo un anuncio en Discord poco después del ataque. Pero no lo anunció en X hasta un par de horas después.
Poco después, la pérdida se elevó a 20 millones de dólares en WETH, VELO, soVELO y Wrapped USDC.
La cadena de Optimism de Sonne Finance fue explotada a través de un ataque de donación conocido en los forks de Compound v2.
Otro fork de Compound v2, Hundred Finance, fue sacudido por un exploit similar aproximadamente hace un año.
Hundred Finance envió una advertencia a otros forks de Compound después de su ataque.
Parece que Sonne hizo oídos sordos, porque este era un ataque que podría haberse prevenido.
¿Aprenderán alguna vez estos protocolos?
Créditos: Nerv Alert, Luke Youngblood, Daniel Von Fange, Tony KΞ
Enjuagar, repetir, rekt - otro protocolo DeFi es llevado a la lavandería por un exploit conocido.
Un fork de Compound V2, Sonne tenía poco más de $60 millones en TVL antes del exploit.
En una frustrante muestra de ignorar la historia, Sonne se convirtió en el último fork de Compound en sucumbir a un exploit que ya había derribado protocolos como Hundred Finance un año antes.
Luke Youngblood proporcionó un desglose del ataque:
El equipo de Sonne Finance desplegó un nuevo contrato de mercado para $VELO y se creó una propuesta de gobernanza para activar el mercado, que tenía un periodo total de gobernanza de 4 días antes de entrar en vigor.
Cuando la propuesta de gobernanza tuvo éxito 3 días después, y expiró el bloqueo temporal de 24 horas, ahora podía ser ejecutada por cualquiera en la red Optimism. El atacante se aseguró de ser el primero en ejecutarla, probablemente ejecutando un bot y esperando ser el primero en atacar.
El atacante ejecutó la propuesta, junto con su carga de ataque, todo en una sola transacción. La propuesta estableció el factor de colateral en el mercado de $VELO de Sonne en un 35%, lo que permitió que ocurriera el ataque, y que el protocolo fuera drenado inmediatamente de al menos 7 cifras de fondos.
Atacante:
0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43
Contrato de ataque:
0x02fa2625825917e9b1f8346a465de1bbc150c5b9
Contratos objetivo:
soVELO: 0xe3b81318b1b6776f0877c3770afddff97b9f5fe5
SoUSDC: 0xec8fea79026ffed168ccf5c627c7f486d77b765f
soWETH: 0xf7b5965f5c117eb1b5450187c9dcfccc3c317e8e
Transacción de ataque: 0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0
Fondos robados actualmente retenidos en varias direcciones:
0x5d0d99e9886581ff8fcb01f35804317f5ed80bbb
0x6277ab36a67cfb5535b02ee95c835a5eec554c07
0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43
0x9f09ec563222fe52712dc413d0b7b66cb5c7c795
0x3b39652151102d19ca41544a635956ef97416598
0x9f44c4ec0b34c2dde2268ed3acbf3aba8eacde51
Daniel Von Fange profundizó en los errores críticos cometidos por Sonne, y proporcionó recomendaciones para los protocolos que emplean billeteras multisig junto con la gobernanza de timelock.
La TL;DR: si una serie de acciones deben ocurrir en cierto orden para ser seguras, asegúrate de que tu proceso de gobernanza no permita elegir qué ejecutar, que sea atómico.
Sonne fue rápido en emitir un Post-mortem del exploit aproximadamente 5 horas después del ataque.
Destacaron cómo anteriormente evitaron el ataque de donación de Compound V2 aumentando lentamente los factores de colateral, pero una propuesta reciente para añadir mercados de VELO abrió una ventana de exploit.
Después de programar las transacciones de integración de VELO a través de su multisig de Optimism sin permisos, el atacante ejecutó los cambios y drenó $20M aprovechando la conocida vulnerabilidad.
Sonne Finance está trabajando para recuperar los fondos robados, considerando una recompensa por su devolución.
Pero no todas fueron malas noticias. El investigador de MEV Tony KΞ de fuzzland publicó un seguimiento de cómo evitaron que se hackearan más de $6.5M durante el incidente, usando solo $100.
Un usuario notó algo sospechoso cuando publicó que el código de Mendi Finance es un fork amistoso de Sonne Finance.
¿Podrían ser explotados pronto?
Sonne fue auditado por yAudit de Yearn Finance.
El vector de ataque está listado como un hallazgo de alta prioridad, afirmando "Protección poco clara contra el vector de ataque de Hundred Finance."
Este último ataque a un fork de Compound v2 ha generado especulaciones de que otros protocolos forkeados podrían ser explotados.
Esta es una vulnerabilidad conocida que puede prevenirse fácilmente, con suerte este último incidente hará que otros protocolos forkeados tomen nota.
¿Crees que harán su debida diligencia o veremos más ataques similares?
El ataque de $20 millones a Sonne Finance representa una gran brecha abierta por no abordar adecuadamente una vulnerabilidad bien conocida.
A pesar de las advertencias explícitas de incidentes anteriores como el exploit de Hundred Finance, el equipo de Sonne siguió adelante con la integración de nuevos mercados sin salvaguardas completas contra el vector de ataque de donación.
Esta negligencia, junto con permisos de gobernanza configurados de manera floja, permitió al atacante drenar millones con relativa facilidad.
El hecho de que los auditores hayan señalado explícitamente este riesgo como de alta severidad hace que este incidente sea aún más imperdonable y preocupante.
Mientras la especulación gira en torno a que otros forks de Compound V2 podrían estar expuestos al mismo exploit, el incidente sirve como un llamado de atención.
Dar prioridad a un despliegue rápido frente a una revisión de seguridad exhaustiva es un compromiso que ningún protocolo puede permitirse, como Sonne que ha aprendido por las malas.
Para que DeFi alcance la madurez, los equipos deben dejar de copiar y pegar ciegamente un código que no llegan a comprender del todo.
Es esencial realizar rigurosas auditorías pre-lanzamiento, supervisar en tiempo real los vectores de ataque y establecer mecanismos de recuperación. De lo contrario, el ecosistema seguirá atrapado en un ciclo de reaprender las mismas costosas lecciones con cada pulsación de tecla.
La pregunta candente es si la lección de 20 millones de dólares de Sonne será la gota que colme el vaso y fuerce un cambio positivo, o si las cifras de pérdidas aceptables seguirán aumentando hasta que los principales inversores y usuarios pierdan la fe por completo?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
ETHTrustFund - Rekt
Otro día, otro rug pull. Esta vez en el proyecto mimado de Coinbase, Base Network. ETHTrustFund hace un rug pull en Base, llevando a pérdidas de $2.1 millones para los inversores.
Rho Market - Rekt
Un error de configuración de un oráculo se convierte en una ganancia de $7.5 millones para un bot MEV alerta. Lo que comenzó como un simple paso en falso en la configuración del oráculo de Rho Market se convirtió en un día de pago para un bot MEV oportunista el 19 de julio, cuando rápidamente aprovechó la apertura dentro del protocolo construido en Scroll.
LiFi/Jumper - Rekt
Aprobaciones infinitas... el salto de fe definitivo ataca de nuevo. El protocolo LiFi perdió $9.73M en un ataque que drenó direcciones que previamente habían aprobado permisos infinitos a los contratos del protocolo en múltiples cadenas.