Sonne Finance遭闪电贷攻击事件梳理
近期,去中心化借贷协议sonne finance遭遇了一次精心策划的闪电贷攻击,导致其在optimism网络上的资金池损失了约2000万美元。本文将详细梳理此次攻击事件的经过,并对攻击者所利用的技术手法进行解析,帮助读者理解此类安全事件的运作流程。
事件回顾
该攻击事件发生在数日前,攻击者利用了协议中一个与新上线资产相关的漏洞。Sonne Finance在添加了对Velodrome (VELO) 代币的支持后,其合约中的一个已知但被认为风险较低的漏洞被攻击者成功利用。根据链上数据分析,攻击者通过多次交易,系统性地从平台的特定资金池中提取了包括WETH、USDC在内的多种加密资产,总价值高达2000万美元。事件发生后,Sonne Finance团队迅速采取行动,立即暂停了在Optimism上的所有市场,以防止进一步的损失。
2025主流加密货币交易所官网注册地址推荐:
欧易OKX:
Binance币安:
攻击手法解析
此次攻击的核心是“闪电贷”,一种无需抵押即可在单笔交易内借出巨额资金的技术。攻击者的操作过程可以分解为以下几个步骤:
1、攻击者首先识别出Sonne Finance在集成Compound V2代码时存在的一个精度计算漏洞,该漏洞在创建新市场时会被触发。
2、通过闪电贷,攻击者在瞬间借到了大量的加密资产作为初始攻击资本。
3、攻击者将一部分VELO存入平台作为抵押品,然后通过向相关的合约地址“捐赠”大量VELO代币的方式,人为地、急剧地拉高了平台内cVELO的价值。
4、由于其抵押品价值被严重高估,攻击者得以借出远超其实际抵押物价值的资产,例如WETH和USDC等主流资产。
5、最后,攻击者归还闪电贷,并将通过漏洞借出的巨额资产转移到自己的个人账户中,完成了整个攻击流程。这一系列操作在极短的时间内完成,让协议几乎没有反应时间。
后续影响
此次攻击对Sonne Finance造成了沉重打击,其协议总锁定价值(TVL)大幅下跌。为了追回资金,项目方已在链上向攻击者发出公开信,表示愿意将其视为白帽行为,并提供一笔可观的“漏洞赏金”以换取大部分被盗资金的返还。同时,Sonne Finance也正与多家区块链安全公司合作,对攻击者的资金流向进行追踪。此次事件再次凸显了DeFi项目在上线新功能或新资产时进行全面安全审计的重要性,尤其是对于那些从现有成熟协议中复刻的代码,也需要进行细致的风险评估。
