26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт.
It seems today's victim @OnyxDAO (w/ >$3.8m loss) falls prey to a known precision issue in forked CompoundV2 code base. The drained funds include 4.1m VUSD, 7.35m XCN, 5k DAI, 0.23 WBTC, 50k USDT.
The bug is exploited to leverage a nearly empty market to manipulate the exchange… https://t.co/Apddu5aMbD pic.twitter.com/EKKRarFu5X
Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.
1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.
Аналитики утверждают, что ошибку Compound Finance v2 можно использовать только на «пустом рынке» или при отсутствии ликвидности.
Неисправный NFT-контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом ввод данных пользователем».
Команда Onyx подтвердила инцидент и заявила, что основной причиной эксплойта является контракт для невзаимозаменяемых токенов.
Onyx Protocol Money Markets Post Mortem 🧵
Onyx Protocol was subject to a security incident where a nefarious actor exploited the protocol to drain VUSD from the protocol.
This exploit can be identified and understood from a vulnerability in the NFT Liquidation contract.
ДАО инициирует голосование о перезапуске протокола и переосмыслит его управленческую составляющую. Разработчики предложили выпустить финансовую сеть с открытым исходным кодом Onyx Core, на базе которой будет функционировать взломанный Onyx Protocol.
«Это предложение закроет рынок кредитования на базе Ethereum и возместит всем пострадавшим пользователям полный объем средств в соотношении 1:1 от предоставленных ими активов», — говорится в сообщении.
Ранее хакеры украли $2 млн из протокола рестейкинга биткоина Bedrock благодаря уязвимости в синтетическом токене uniBTC.
Напомним, в июле-сентябре криптовалютные компании столкнулись с 34 эпизодами взломов и мошенничества, убытки от которых составили более $413 млн, согласно Immunefi.