Sonne Finance Token fällt um 60 %, nachdem 20 Millionen US-Dollar aufgrund von Optimismus ausgenutzt wurden

Als erfahrener Analyst glaube ich, dass der Sonne Finance-Hack einen erheblichen Rückschlag für die dezentralisierte Finanzgemeinschaft (DeFi) darstellt, insbesondere für die Optimism-Blockchain. Der Einsatz eines „Spenden“-Angriffs durch die Ausbeuter, um Märkte zu manipulieren und Token im Wert von mehreren Millionen Dollar zu stehlen, ist eine Erinnerung an die potenziellen Schwachstellen in DeFi-Protokollen.

Als Finanzanalyst würde ich es so umformulieren: Gestern habe ich herausgefunden, dass Sonne Finance einen erheblichen Rückschlag erlitten hat, als der Wert ihres SONNE-Tokens nach einer unglücklichen Offenlegung durch die Entwickler sank. Sie gaben einen Hackerangriff zu, der zum Diebstahl von etwa 20 Millionen US-Dollar von ihrer dezentralen Kreditplattform führte.

Der Wert von Sonne brach um 60 % auf einen Tiefststand von 2,5 Cent ein und markierte damit den niedrigsten Stand seit über einem Jahr. Infolgedessen sank die Marktkapitalisierung auf 20 Millionen US-Dollar, obwohl die Entwickler behaupteten, sie hätten den Diebstahl von 6,5 Millionen US-Dollar erfolgreich gestoppt, nachdem sie von dem Cyberangriff erfahren hatten.

Böswillige Akteure nutzten ein „Spenden“-Programm, um bestimmte Märkte auf der Plattform von Sonne zu manipulieren, die auf der Optimism-Blockchain basiert. Bei diesem Angriff gelang es ihnen, mit mehreren Spielsteinen davonzukommen. Wichtig ist, dass der Vorfall keine Auswirkungen auf die Basisversion der Plattform hatte, die auf einer anderen Blockchain läuft. (Stellen Sie sich eine App vor, die auf iOS gehackt wird, auf Android jedoch weiterhin sicher ist.)

Wie es zu dem Exploit kam

Als Forscher bin ich auf einen Vorfall gestoßen, bei dem es zu einem Exploit im Protokoll kam, nachdem nach einem aktuellen Community-Vorschlag Token-Märkte für VELO von Velodrome Finance hinzugefügt wurden. Ein Angreifer nutzte die zweitägige Zeitsperre erfolgreich aus, um eine Reihe von Transaktionen durchzuführen, bei denen es um die Schaffung von Märkten und das Hinzufügen von Sicherheiten ging.

Ein Smart Contract auf der Blockchain, auch Timelock-Vertrag genannt, ist so konzipiert, dass er eine Transaktion automatisch zwei Tage nach ihrer Sperrung oder Initialisierung ausführt.

Ein Angreifer manipulierte den Wechselkurs zwischen zwei Token, indem er große Kryptowährungsspenden für Transaktionen tätigte, wodurch der Plattform der Eindruck vermittelt wurde, dass sie über größere Sicherheiten verfügten, als in Wirklichkeit der Fall war.

Aus den Blockchain-Aufzeichnungen geht hervor, dass ein Eindringling nach dem Manipulationsvorfall erfolgreich große Mengen an VELO, Ether und USDC bewegt hat. Anschließend tauschten sie diese Vermögenswerte gegen etwa 8 Millionen US-Dollar in Bitcoin und Ether ein. Die gestohlenen Gelder wurden dann in den frühen Morgenstunden Europas an eine andere Wallet-Adresse überwiesen.

In der Vergangenheit hat das Protokoll vergleichbare Probleme umgangen, indem es Märkte ohne Anforderungen an Sicherheiten einbezog, Sicherheiten manuell anpasste und sie dauerhaft eliminierte, bevor es zu einer möglichen Marktmanipulation kam.

In dem Bericht über die Sicherheitsverletzung kündigten die Entwickler ihre Bemühungen zur Wiedererlangung der gestohlenen Gelder an und schlugen eine Belohnung für den erbeutenden Hacker vor.