Onyx Protocol, en forgrening av Compound Finance, led et tap på $ 3,8 millioner på torsdag, som markerer nok en hendelse i en serie angrep der onde aktører utforsker systemets sårbarhet.
Cyberangrep fortsetter å plage kryptoindustrien, noe som understreker behovet for forbedret sikkerhet.
$ 3,8 millioner hack rammer Onyx Protocol
Blokkjedesikkerhetsfirmaet PeckShield fremhevet mistenkelige transaksjoner på OnyxDAO, og rettet oppmerksomheten mot et mulig angrep på protokollen. I et oppfølgingsinnlegg avslørte den on-chain detektiven tap som nådde $ 3,8 millioner, som indikerte at hackeren allerede byttet ut midlene.
Web3-sikkerhetsfirmaet Cyvers bekreftet hendelsen, og siterte mistenkelige transaksjoner som involverte OnyxDAO på Ethereum-blokkjeden. Ifølge Cyvers var det meste av tapet i VUSD stablecoin.
“Vårt system har oppdaget en mistenkelig transaksjon som involverer OnyxDAO på ETH-kjeden! Det totale tapet er rundt $ 3,2 millioner [på det tidspunktet]. De fleste tapene er i VUSD. Angriperen holder for øyeblikket 521 ETH ($ 1,36 millioner). Resten av de digitale eiendelene er ikke byttet ut ennå,” skrev Cyvers .
Les mer: Kryptoprosjektsikkerhet: En guide til tidlig trusseldeteksjon
Ytterligere undersøkelser av PeckShield avslørte at angriperen utnyttet et kjent presisjonsproblem presentert som en feil i den forgrenede Compound V2-kodebasen. De tappet deretter 4,1 millioner VUSD, 7,35 millioner XCN, 5000 DAI, 0,23 WBTC og 50 000 USDT. Rapporten hevder at feilen utnyttet et nesten tomt marked for å manipulere valutakursen.
Det er verdt å merke seg at hackere brukte samme tilnærming i oktober 2023, og hacket samme protokoll for $ 2,1 millioner. I oktober-hendelsen var sårbarheten en avrundingsfeil. På den tiden tilskrev forskere sårbarheten til at Onyx Protocol var en forgrening av Compound Finance.
Hvordan kode-sårbarheten oppstår
Med mange DeFi-protokoller som er åpen kildekode, har utviklere en tendens til å unngå den lange tilnærmingen. De velger å bygge videre på eksisterende kode i stedet for å implementere funksjonalitet fra bunnen av.
Tilnærmingen anses som populær ettersom den kan forbedre effektivitet og sikkerhet når den gjøres riktig. Ulempen er at hvis mal-koden ikke er sikker, kan forgreningen arve sårbarhetene.
“I tilfellet med Onyx-protokollen hadde Compound Finance-koden den brukte en kjent sårbarhet som allerede hadde blitt utnyttet i Hundred Finance og Midas Capital, som også forgrenet Compound Finance-koden. Imidlertid brukte Onyx Protocol samme kode og manglet fellesskapsstøtten og årvåkenheten som trengtes for å forhindre at sårbarheten ble utnyttet,” rapporterte sikkerhetsfirmaet Halborn .
Dette betyr at Onyx Protocol-hacket kunne ha vært forhindret, gitt forekomsten av avrundingsfeil. Veiledning eksisterer allerede når man lanserer nye markeder på Compound Finance og dets forgreninger.
“Hos Hexagate anbefaler vi enhver Compound V2-forgrening, når de lanserer nye markeder, å prege noen cTokens og brenne dem for å sikre at den totale forsyningen aldri går til null. Når den totale forsyningen går til null, blir protokollen sårbar, og denne strategien demper denne situasjonen,” veiledet sikkerhetsfirmaet Hexgate i april 2023.
Les mer: Hva er Compound Finance?
Disse hendelsene, inkludert et $ 4,6 millioner angrep på desentralisert infrastruktur Truflation på onsdag, reflekterer den utbredte utfordringen i kryptoindustrien, hvor onde aktører bruker forskjellige mekanismer for å stjele digitale eiendeler.
