ในฐานะนักวิเคราะห์ที่มีประสบการณ์ ฉันพบว่าแฮ็ก Sonne Finance เป็นการเตือนใจถึงความซับซ้อนและช่องโหว่ที่มีอยู่ในระบบการเงินแบบกระจายอำนาจ (DeFi) ความสามารถของผู้โจมตีในการใช้ประโยชน์จากระบบและระบายทรัพย์สินมูลค่ากว่า 20 ล้านเหรียญสหรัฐ ถือเป็นคำเตือนที่ชัดเจนถึงความจำเป็นในการตรวจสอบโค้ดที่มีประสิทธิภาพ การป้องกันความล้มเหลวที่แข็งแกร่ง และการเฝ้าระวังอย่างต่อเนื่องในระบบนิเวศที่พัฒนาอย่างรวดเร็วนี้
น่าประหลาดใจที่แฮ็กเกอร์เข้ารหัสลับที่ไม่ปรากฏชื่อสามารถเข้าถึง Sonne Finance และดำเนินการหาประโยชน์ที่ซับซ้อน ส่งผลให้มีการขโมยทรัพย์สินมูลค่าประมาณ 20 ล้านดอลลาร์จากบริษัทภายในระยะเวลาหลายวัน ผู้โจมตีค้นพบอย่างพิถีพิถันและใช้ช่องโหว่ที่ซ่อนอยู่ในการผสานรวม VELO ของ Sonne Finance กับเครือข่าย Optimism
เส้นทางแห่งการนัดหยุดงาน
ตามรายงานเชิงลึกที่เผยแพร่โดย CertiK ธุรกรรมที่เป็นอันตรายที่เกี่ยวข้องกับ Sonne Finance ดำเนินไปเป็นเวลาสองวัน เริ่มนับจากวันที่ถูกโจมตีทางไซเบอร์ ก่อนที่จะเกิดเหตุการณ์นี้ Sonne Finance ได้ทำการลงมติเป็นเอกฉันท์ในหมู่สมาชิกเพื่อเปิดใช้งานธุรกรรม VELO บนบล็อคเชน Optimism พวกเขาทำธุรกรรมที่จำเป็นทั้งหมดให้เสร็จสิ้นโดยใช้กระเป๋าเงิน multi-sig ก่อนการโจมตีจะเกิดขึ้น
กระเป๋าเงินนี้มีกลไกการหน่วงเวลาสองวัน เพิ่มความปลอดภัยโดยการเลื่อนธุรกรรมออกไปเป็นเวลาสองวันก่อนที่จะดำเนินการ
หลังจากกระบวนการนับสองวันเสร็จสิ้น ฉันในฐานะผู้บุกรุกได้แนะนำ “c-factor” เข้าสู่ตลาดประมาณเที่ยงวัน ในช่วงหัวเลี้ยวหัวต่อที่สำคัญนี้ ฉันซึ่งเป็นนักแสดงที่เป็นอันตรายได้ส่งโทเค็น VELO จำนวน 400,000,001 wei (เศษเล็กเศษน้อย) เพื่อผลิตเพียง 2 wei
การใช้ประโยชน์จากระบบ
soVELO ที่ออกใหม่ประสบความสำเร็จในการได้รับเงินกู้จำนวน 35,469,150 VELO จากกลุ่มสภาพคล่องของการทำตลาดอัตโนมัติ (AMM) หลังจากการโอน VELO ที่มีหลักประกันมากเกินไปไปยังสัญญา soVELO
แม้ว่าการโอนจะไม่สร้างโทเค็น soVELO ใหม่ ซึ่งส่งผลให้เกิดความคลาดเคลื่อน แต่จำนวนเงินสดโดยรวมในระบบยังคงมีเพิ่มขึ้น ในขณะที่จำนวนโทเค็น soVELO ยังคงคงที่ที่ 2 wei
ในฐานะนักวิเคราะห์ ฉันได้ค้นพบว่าผู้โจมตีใช้ประโยชน์จากการปัดเศษข้อผิดพลาดในการคำนวณการแบ่งส่วนภายในสัญญาอัจฉริยะ ทำให้พวกเขายืม Ethereum ที่ห่อไว้ได้มากกว่าที่ตั้งใจไว้อย่างมากโดยใช้หลักประกันเพียงเล็กน้อยเพียงสอง Wei ข้อผิดพลาดนี้ส่งผลให้ผู้โจมตีได้รับโทเค็น VELO 35,471,603 โทเค็น แทนที่จะเป็น 1 VELO ที่คาดไว้เมื่อทำการไถ่ถอน พวกเขาจัดการเพื่อให้บรรลุเป้าหมายนี้ได้โดยการแลกโทเค็นจำนวนมากเกินไปด้วยเงินเพียง 1 wei ของ soVELO
การดำเนินการระบายน้ำ
ผู้โจมตีไม่สามารถหยุดการโจมตีได้เพียงพอเมื่อถึงเวลานั้น ในระยะที่สอง พวกเขาจ้าง VELO 100 wei พร้อมกันที่ soVELO ส่งผลให้อุปทานรวมของ soVELO เพิ่มขึ้นเป็น 2 wei ด้วยการดำเนินกลยุทธ์นี้ พวกเขายังคงใช้งานระบบต่อไปและลดสินทรัพย์จากแหล่งต่างๆ
ทรัพย์สินที่ถูกขโมยได้แก่: 2,352.96 VELO, 795.38 WETH, 768,933.76 USD Coin และ 2,554,790.21 USDC นอกจากนี้ยังมี Bitcoins ที่ห่อไว้ 162,92 ชิ้น, ETH ที่เดิมพันแล้ว 1,667.45 ชิ้น, Tether 777,566.52 รายการ และ 1,264,790.21 USDC
การค้นพบว่าการกำกับดูแลเล็กๆ น้อยๆ ในการปัดเศษสามารถปูทางไปสู่ชัยชนะของแฮ็กได้ตอกย้ำถึงความสำคัญของการตรวจสอบโค้ดอย่างพิถีพิถันและการใช้การป้องกันที่แข็งแกร่งสำหรับการรักษาความปลอดภัยสินทรัพย์ดิจิทัลในระบบกระจายอำนาจ
ดูเพิ่มเติมที่: รายงานการแฮ็ก Crypto ไตรมาสที่ 1 ปี 2024: แนวโน้ม การสูญเสีย และความพยายามในการกู้คืน
Sorry. No data so far.
2024-05-16 13:22