По словам аналитиков, злоумышленник вывел ликвидность Onyx, воспользовавшись уязвимостью в кодовой базе протокола, известной как «потеря точности». В частности, эксплойт был реализован с использованием округления целых чисел, чему способствовал флэш-кредит.
«Злоумышленник взял мгновенный кредит на значительную сумму в ETH, обменял его на PEPE и пожертвовал в определенный пул для манипулирования обменным курсом. Впоследствии из-за так называемой потери точности злоумышленник смог вывести больше базового актива, сжигая меньшее количество акций», — пояснил директор службы безопасности BlockSec.
В BlockSec отметили: корни уязвимости вытекают из старой разветвленной версии Compound V2, которую Onyx до сих пор использует в своей базовой архитектуре. Ранее, используя похожие уязвимости, были атакованы протоколы кредитования Hundred Finance, Agave и Ola Finance.