Onyx Protocol, en förgrening av Compound Finance, drabbades av en förlust på 3,8 miljoner USD på torsdagen, vilket markerar ytterligare en händelse i en serie attacker där illasinnade aktörer utnyttjar systemets sårbarheter.
Cyberattacker fortsätter att plåga kryptobranschen, vilket understryker behovet av förbättrad säkerhet.
3,8 miljoner USD-stöld drabbar Onyx Protocol
Blockchain-säkerhetsföretaget PeckShield uppmärksammade misstänkta transaktioner på OnyxDAO, vilket drog uppmärksamhet till en möjlig attack mot protokollet. I ett uppföljande inlägg avslöjade den kedjebaserade detektiven förluster på 3,8 miljoner USD, vilket indikerade att hackaren redan bytte ut fonderna.
Web3-säkerhetsföretaget Cyvers bekräftade incidenten och citerade misstänkta transaktioner som involverade OnyxDAO på Ethereum-blockkedjan. Enligt Cyvers var största delen av förlusten i VUSD-stablecoin.
“Vårt system har upptäckt en misstänkt transaktion som involverar OnyxDAO på ETH-kedjan! Den totala förlusten är runt 3,2 miljoner USD [vid tidpunkten]. Största delen av förlusterna är i VUSD. Angriparen innehar för närvarande 521 ETH (1,36 miljoner USD). Resten av de digitala tillgångarna är ännu inte utbytta,” skrev Cyvers här.
Läs mer: Kryptoprojektsäkerhet: En guide till tidig hotdetektering
Ytterligare undersökningar av PeckShield avslöjade att angriparen utnyttjade ett känt precisionproblem som presenterades som ett fel i den förgrenade Compound V2-kodbasen. De siphonerade sedan 4,1 miljoner VUSD, 7,35 miljoner XCN, 5 000 DAI, 0,23 WBTC och 50 000 USDT. Rapporterat utnyttjade felet en nästan tom marknad för att manipulera växelkursen.
Hackare använde samma tillvägagångssätt i oktober 2023, då de hackade samma protokoll för 2,1 miljoner USD. I oktoberincidenten var sårbarheten ett avrundningsfel. Vid den tiden tillskrev forskare sårbarheten till att Onyx Protocol var en förgrening av Compound Finance.
Hur kodens sårbarhet uppstår
Många DeFi-protokoll är öppen källkod, och utvecklare tenderar att undvika det långa tillvägagångssättet. De väljer att bygga vidare på befintlig kod istället för att implementera funktionalitet från grunden.
Detta tillvägagångssätt anses populärt eftersom det kan förbättra effektiviteten och säkerheten när det görs korrekt. Nackdelen är att om mallkoden inte är säker kan förgreningen ärva sårbarheterna.
“I fallet med Onyx-protokollet hade Compound Finance-koden som användes en känd sårbarhet som redan hade utnyttjats i Hundred Finance och Midas Capital, som också förgrenade Compound Finance-koden. Dock använde Onyx Protocol samma kod och saknade det gemenskapsstöd och den vaksamhet som krävdes för att förhindra att sårbarheten utnyttjades,” rapporterade säkerhetsföretaget Halborn här.
Detta innebär att Onyx Protocol-hacket kunde ha förhindrats, med tanke på förekomsten av avrundningsfel. Vägledning finns redan när nya marknader lanseras på Compound Finance och dess förgreningar.
“På Hexagate rekommenderar vi alla Compound V2-förgreningar, när nya marknader lanseras, att prägla några cTokens och bränna dem för att säkerställa att den totala tillgången aldrig går till noll. När den totala tillgången går till noll blir protokollet sårbar och denna strategi mildrar denna situation,” vägledde säkerhetsföretaget Hexgate här i april 2023.
Läs mer: Vad är Compound Finance?
Dessa incidenter, inklusive en attack på 4,6 miljoner USD här på decentraliserad infrastruktur Truflation på onsdagen, speglar den utbredda utmaningen i kryptobranschen, där illasinnade aktörer använder olika mekanismer för att stjäla digitala tillgångar.
Trusted
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
