Согласно отчету платформы безопасности блокчейна Peck Shield, 26 сентября протокол децентрализованного финансирования (DeFi) Onyx был взломан на 3,8 миллиона долларов. Эксплойт использовал известную ошибку в кодовой базе Compound Finance v2, и эта ошибка уже использовалась для эксплойта Onyx ранее 1 ноября. В отчете говорится, что уязвимость в контракте о ликвидации NFT также способствовала использованию эксплойта.
В сообщении X от 27 сентября команда Onyx заявила, что основной причиной эксплойта был неисправный контракт NFT.
Согласно отчету Peck Shield, из биржи были выведены 4,1 млн виртуальных долларов США (VUSD), 7,35 млн Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), стейблкоин Dai (DAI) на сумму 5000 долларов США и стейблкоин Tether (USDT) на сумму 50 000 долларов США. протокол, что в общей сложности составило более 3,8 миллиона долларов убытков.
Известная уязвимость существует в версии 2 Compound Finance, которая представляет собой кодовую базу, которая часто разветвляется и используется протоколами децентрализованного финансирования. Это привело к эксплойту против Hundred Finance в апреле 2023 года. В ноябре уязвимость была впервые использована против Onyx.
Связанный: Протокол Onyx подвергся атаке подражателя Hundred Finance на сумму 2,1 миллиона долларов
Эту ошибку можно использовать только тогда, когда существует «пустой рынок» или рынок без ликвидности, что обычно происходит только при запуске нового рынка.
Команда Onyx признала наличие эксплойта в X-посте. «Протокол Onyx стал объектом инцидента безопасности, когда злоумышленник воспользовался протоколом для утечки VUSD из протокола», — говорится в сообщении. Однако компания заявила, что известный недостаток не является ее основной причиной. «Основной проблемой был не пустой рынок, а Контракт о ликвидации NFT», — говорилось в ветке.
Пек Шилд согласился, что контракт NFT является «еще одной проблемой, облегчающей взлом». Дефектный контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом (недоверенный) пользовательский ввод».
Эксплойты DeFi являются распространенным источником потерь для пользователей Web3.27 сентября протокол ликвидных ставок Bedrock потерял более 2 миллионов долларов из-за уязвимости в контракте uniBTC.23 сентября из сети Bankroll Network было слито 230 000 долларов США, когда злоумышленник совершил несколько самостоятельных переводов, воспользовавшись ошибочной функцией «buyFor» для увеличения своей прибыли.
