Відповідно до звіту платформи безпеки блокчейнів Peck Shield 26 вересня, протокол децентралізованого фінансування (DeFi) Onyx був використаний на 3,8 мільйона доларів. Експлойт використовував відому помилку в кодовій базі Compound Finance v2, і ця помилка вже використовувалася для експлуатації Onyx раніше 1 листопада. Уразливість у контракті про ліквідацію NFT також сприяла експлойту, йдеться у звіті.
У публікації X від 27 вересня команда Onyx стверджувала, що причиною експлойту був несправний контракт NFT.
Згідно зі звітом Peck Shield, 4,1 мільйона віртуальних доларів США (VUSD), 7,35 мільйона Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), стейблкойн Dai (DAI) на суму 5000 доларів США та стейблкойн Tether (USDT) на суму 50 000 доларів США були виведені зпротоколу, на загальну суму понад 3,8 мільйона доларів США.
Відома вразливість існує у версії 2 Compound Finance, яка є кодовою базою, яку часто розгалужують і використовують децентралізовані фінансові протоколи. Це призвело до експлойту проти Hundred Finance у квітні 2023 року. У листопаді вразливість була вперше використана проти Onyx.
За темою: Onyx Protocol постраждав від атаки імітатора Hundred Finance на 2,1 мільйона доларів
Недолік можна використати лише тоді, коли існує «порожній ринок» або ринок без ліквідності, що, як правило, відбувається лише під час запуску нового ринку.
Команда Onyx визнала експлойт у дописі X. «Протокол Onyx зазнав інциденту безпеки, коли зловмисник скористався протоколом, щоб викачати VUSD з протоколу», — йдеться в повідомленні. Однак він стверджував, що відомий недолік не є його основною причиною. «Основною проблемою був не порожній ринок, а контракт про ліквідацію NFT», — зазначено в ланцюжку.
Пек Шилд погодився, що контракт на NFT є «ще однією проблемою, яка сприяє злому». Несправний контракт дозволив зловмиснику «завищити суму винагороди за самоліквідацію», оскільки він не «належним чином перевіряв (ненадійний) вхід користувача».
Експлойти DeFi є поширеним джерелом втрат для користувачів Web3.27 вересня протокол ліквідних ставок Bedrock втратив понад 2 мільйони доларів через вразливість у своєму контракті uniBTC.23 вересня з мережі Bankroll Network було вичерпано 230 000 доларів, коли зловмисник зробив кілька власних переказів, використовуючи несправну функцію «buyFor», щоб збільшити свої прибутки.
