Onyx bị hack lần hai, mất 3,8 triệu USD vì lỗi cũ
-
Thor Crypto - 12 ngày
Giao thức tài chính phi tập trung (DeFi) Onyx lại bị hack mất 3,8 triệu USD vào ngày 26 tháng 9, theo báo cáo từ nền tảng bảo mật blockchain PeckShield. Cuộc tấn công này lợi dụng một lỗi đã biết trong mã nguồn Compound Finance v2 — lỗi này đã từng được sử dụng để khai thác Onyx trước đó vào ngày 1 tháng 11. Một lỗ hổng trong hợp đồng thanh lý token không thể thay thế (NFT) cũng góp phần vào cuộc tấn công, báo cáo cho biết.
Trong một bài đăng trên X vào ngày 27 tháng 9, đội ngũ Onyx tuyên bố rằng hợp đồng NFT bị lỗi là nguyên nhân gốc rễ của cuộc tấn công.
Theo báo cáo của PeckShield, 4,1 triệu USD ảo (VUSD), 7,35 triệu Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), 5.000 USD giá trị stablecoin Dai (DAI) và 50.000 USD giá trị stablecoin USDt (USDT) đã bị rút khỏi giao thức, tổng cộng thiệt hại hơn 3,8 triệu USD.
Lỗ hổng đã biết tồn tại trong phiên bản 2 của Compound Finance, một mã nguồn thường được fork và sử dụng bởi các giao thức tài chính phi tập trung. Nó đã dẫn đến một cuộc tấn công vào Hundred Finance vào tháng 4 năm 2023. Vào tháng 10 năm 2023, lỗ hổng này đã được sử dụng để tấn công Onyx lần đầu tiên.
Lỗi này chỉ có thể bị khai thác khi tồn tại một “thị trường trống,” hoặc một thị trường không có thanh khoản, điều này thường chỉ xảy ra khi một thị trường mới được ra mắt.
Đội ngũ Onyx đã thừa nhận cuộc tấn công trong một bài đăng trên X. “Giao thức Onyx đã gặp phải một sự cố bảo mật khi một kẻ xấu đã khai thác giao thức để rút VUSD khỏi giao thức,” họ tuyên bố. Tuy nhiên, họ cho rằng lỗi đã biết không phải là nguyên nhân chính. “Vấn đề chính không phải là thị trường trống mà là Hợp đồng Thanh lý NFT,” họ tuyên bố trong một chuỗi bài viết.
PeckShield đồng ý rằng hợp đồng NFT là “[một] vấn đề khác tạo điều kiện cho cuộc tấn công.” Hợp đồng bị lỗi cho phép kẻ tấn công “tăng số tiền thưởng tự thanh lý” vì nó không “xác thực đúng (dữ liệu đầu vào không đáng tin cậy) của người dùng.”
Các cuộc tấn công DeFi là nguồn gốc phổ biến của các tổn thất cho người dùng Web3. Vào ngày 27 tháng 9, giao thức staking thanh khoản Bedrock đã mất hơn 2 triệu USD do một lỗ hổng trong hợp đồng uniBTC của nó. Vào ngày 23 tháng 9, Bankroll Network đã bị rút 230.000 USD khi một kẻ tấn công thực hiện nhiều lần tự chuyển, khai thác một chức năng “buyFor” bị lỗi để tăng lợi nhuận của họ.
Chain Việt Nam
