Amber avatar
MarginATM
Trang thông tin tiền điện tử, công nghệ blockchain và xu hướng mới trong DeFi. Cập nhật thông tin nhanh chóng, chính xác nhất mỗi ngày từ cả thế giới phi tập trung và tập trung.

Giao thức DeFi Sonne Finance bị hack, thiệt hại hơn 20 triệu USD

Giao thức DeFi Sonne Finance vừa bị tấn công do lỗ hổng trong hợp đồng time-locked, dẫn đến thiệt hại hơn 20 triệu USD. Sonne Finance đã dừng tất cả hoạt động trên Optimism và khẳng định Base vẫn đang an toàn.
Amber avatar
Hunt
4 min read
Published May 15 2024
Updated May 15 2024
sonne finance bị hack

Ngày 14/05/2024, nền tảng cho vay Sonne Finance đã bị hacker khai thác lỗ hổng với số tiền thiệt hại lên tới 20 triệu USD. Sonne Finance là một phiên bản fork của Compound V2, với tổng giá trị bị khóa (TVL) trước khi bị tấn công là hơn 60 triệu USD.

Sonne Finance đã nhanh chóng tạm dừng giao thức trên OP để điều tra sự việc, đồng thời khẳng định rằng thị trường cho vay của Sonne trên Base blockchain vẫn an toàn.

Hiện tại, nguyên nhân cụ thể của vụ tấn công vẫn chưa được xác định rõ, nhưng có một số suy đoán cho rằng có thể liên quan đến một thị trường cho vay mới được thêm vào gần đây.

Người dùng @tonyke_bot đã phân tích cách hacker khai thác lỗ hổng như sau:

Lỗ hổng phổ biến trong Compound V2: Hacker đã tìm ra một lỗ hổng phổ biến trong phiên bản fork của Compound V2 mà Sonne Finance sử dụng. Cụ thể, lỗ hổng này liên quan đến một cuộc tấn công gọi là "precision loss attack".
Lợi dụng pool chưa khởi tạo: Hacker đã khai thác lỗ hổng này khi có một pool mới (soVELO) chưa được khởi tạo đúng cách. Khi một pool chưa được khởi tạo, các thông số chính xác của pool chưa được thiết lập hoàn chỉnh, dẫn đến sự mất mát về độ chính xác (precision loss).
Thực hiện cuộc tấn công: Kẻ tấn công có thể tận dụng sự mất mát về độ chính xác này để thực hiện các giao dịch khai thác lỗ hổng, từ đó chiếm đoạt tiền từ giao thức.

Sau khi khai thác xong lỗ hổng trên Optimism, hacker này đã hoàn toàn chiếm đoạt được 20 triệu USD thông qua nhiều giao dịch khác nhau.

advertising
hacker rút tiền
Hacker rút tiền khỏi giao thức Sonne Finance

Theo thông tin từ Twitter của Oxtiago, Sonne Finance là một phiên bản fork của Compound V2, vì vậy tất cả các fork có thể đang gặp nguy hiểm. Một số fork nổi bật bao gồm LayerBank, Mendi Finance, Orbit on Blast, Ionic, và Iron Bank. Compound V2 có hơn 120 fork, và danh sách này có thể xem trên DeFiLlama.

người dùng x cảnh báo
Người dùng X cảnh báo các giao thức fork từ Compound V2

Giá của token SONNE đã giảm 27% sau vụ tấn công, token SONNE của dự án hiện có vốn hóa thị trường là 3.7 triệu USD, TVL của dự án cũng đã giảm từ 60 triệu USD xuống còn hơn 11 triệu USD. Việc giảm giá nhanh chóng của token phản ánh mức độ lo ngại của các nhà đầu tư về tính bảo mật và tương lai của giao thức.

giá token sonne
Giá token SONNE. Nguồn: Coinmarketcap

Một người dùng đã bày tỏ sự thất vọng đối với Sonne Finance sau vụ tấn công khiến họ mất hàng triệu USD. 

"Sonne Finance còn không hiểu rõ source-code của chính mình và đã triển khai một thị trường mới mà không gửi một số tài sản thế chấp và đốt cTokens, dẫn đến việc người dùng mất hàng triệu USD do một lỗi đã được ghi nhận từ 2 năm trước".
Người dùng trên X cho biết.

Các giao thức fork từ Compound V2 thường xuyên trở thành mục tiêu của các cuộc tấn công, đã có tổng cộng 12 giao thức fork từ Compound V2 bị hack và tổng số tiền thiệt hại đã lên tới con số hơn 230 triệu USD.

CREAM Finance là dự án bị hack số tiền lớn nhất với hơn 130 triệu USD vào năm 2021. Ngoài ra còn có Rari Capital với 80 triệu USD và Hundred Finance thiệt hại 7 triệu USD.