Хакеры применили старый эксплойт для повторного взлома Onyx на $3,8 млн

26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт.

It seems today's victim @OnyxDAO (w/ >$3.8m loss) falls prey to a known precision issue in forked CompoundV2 code base. The drained funds include 4.1m VUSD, 7.35m XCN, 5k DAI, 0.23 WBTC, 50k USDT.

The bug is exploited to leverage a nearly empty market to manipulate the exchange… https://t.co/Apddu5aMbD pic.twitter.com/EKKRarFu5X

— PeckShield Inc. (@peckshield) September 26, 2024

Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.

1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.

Аналитики утверждают, что ошибку Compound Finance v2 можно использовать только на «пустом рынке» или при отсутствии ликвидности.

Неисправный NFT-контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом ввод данных пользователем».

Команда Onyx подтвердила инцидент и заявила, что основной причиной эксплойта является контракт для невзаимозаменяемых токенов.

Onyx Protocol Money Markets Post Mortem 🧵

Onyx Protocol was subject to a security incident where a nefarious actor exploited the protocol to drain VUSD from the protocol.

This exploit can be identified and understood from a vulnerability in the NFT Liquidation contract.

— Onyx (@OnyxDAO) September 26, 2024

ДАО инициирует голосование о перезапуске протокола и переосмыслит его управленческую составляющую. Разработчики предложили выпустить финансовую сеть с открытым исходным кодом Onyx Core, на базе которой будет функционировать взломанный Onyx Protocol.

«Это предложение закроет рынок кредитования на базе Ethereum и возместит всем пострадавшим пользователям полный объем средств в соотношении 1:1 от предоставленных ими активов», — говорится в сообщении.

Ранее хакеры украли $2 млн из протокола рестейкинга биткоина Bedrock благодаря уязвимости в синтетическом токене uniBTC.

Напомним, в июле-сентябре криптовалютные компании столкнулись с 34 эпизодами взломов и мошенничества, убытки от которых составили более $413 млн, согласно Immunefi.