Onyx Protocol, en forgrening av Compound Finance, led et tap på $ 3,8 millioner på torsdag, som markerer nok en hendelse i en serie angrep der onde aktører utforsker systemets sårbarhet.
Cyberangrep fortsetter å plage kryptoindustrien, noe som understreker behovet for forbedret sikkerhet.
$ 3,8 millioner hack rammer Onyx Protocol
Blokkjedesikkerhetsfirmaet PeckShield fremhevet mistenkelige transaksjoner på OnyxDAO, og rettet oppmerksomheten mot et mulig angrep på protokollen. I et oppfølgingsinnlegg avslørte den on-chain detektiven tap som nådde $ 3,8 millioner, som indikerte at hackeren allerede byttet ut midlene.
Web3-sikkerhetsfirmaet Cyvers bekreftet hendelsen, og siterte mistenkelige transaksjoner som involverte OnyxDAO på Ethereum-blokkjeden. Ifølge Cyvers var det meste av tapet i VUSD stablecoin.
“Vårt system har oppdaget en mistenkelig transaksjon som involverer OnyxDAO på ETH-kjeden! Det totale tapet er rundt $ 3,2 millioner [på det tidspunktet]. De fleste tapene er i VUSD. Angriperen holder for øyeblikket 521 ETH ($ 1,36 millioner). Resten av de digitale eiendelene er ikke byttet ut ennå,” skrev Cyvers .
Les mer: Kryptoprosjektsikkerhet: En guide til tidlig trusseldeteksjon
Ytterligere undersøkelser av PeckShield avslørte at angriperen utnyttet et kjent presisjonsproblem presentert som en feil i den forgrenede Compound V2-kodebasen. De tappet deretter 4,1 millioner VUSD, 7,35 millioner XCN, 5000 DAI, 0,23 WBTC og 50 000 USDT. Rapporten hevder at feilen utnyttet et nesten tomt marked for å manipulere valutakursen.
Det er verdt å merke seg at hackere brukte samme tilnærming i oktober 2023, og hacket samme protokoll for $ 2,1 millioner. I oktober-hendelsen var sårbarheten en avrundingsfeil. På den tiden tilskrev forskere sårbarheten til at Onyx Protocol var en forgrening av Compound Finance.
Hvordan kode-sårbarheten oppstår
Med mange DeFi-protokoller som er åpen kildekode, har utviklere en tendens til å unngå den lange tilnærmingen. De velger å bygge videre på eksisterende kode i stedet for å implementere funksjonalitet fra bunnen av.
Tilnærmingen anses som populær ettersom den kan forbedre effektivitet og sikkerhet når den gjøres riktig. Ulempen er at hvis mal-koden ikke er sikker, kan forgreningen arve sårbarhetene.
“I tilfellet med Onyx-protokollen hadde Compound Finance-koden den brukte en kjent sårbarhet som allerede hadde blitt utnyttet i Hundred Finance og Midas Capital, som også forgrenet Compound Finance-koden. Imidlertid brukte Onyx Protocol samme kode og manglet fellesskapsstøtten og årvåkenheten som trengtes for å forhindre at sårbarheten ble utnyttet,” rapporterte sikkerhetsfirmaet Halborn .
Dette betyr at Onyx Protocol-hacket kunne ha vært forhindret, gitt forekomsten av avrundingsfeil. Veiledning eksisterer allerede når man lanserer nye markeder på Compound Finance og dets forgreninger.
“Hos Hexagate anbefaler vi enhver Compound V2-forgrening, når de lanserer nye markeder, å prege noen cTokens og brenne dem for å sikre at den totale forsyningen aldri går til null. Når den totale forsyningen går til null, blir protokollen sårbar, og denne strategien demper denne situasjonen,” veiledet sikkerhetsfirmaet Hexgate i april 2023.
Les mer: Hva er Compound Finance?
Disse hendelsene, inkludert et $ 4,6 millioner angrep på desentralisert infrastruktur Truflation på onsdag, reflekterer den utbredte utfordringen i kryptoindustrien, hvor onde aktører bruker forskjellige mekanismer for å stjele digitale eiendeler.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
