Onyx Protocol, en fork af Compound Finance, led et tab på 3,8 millioner dollars i torsdags, hvilket markerer endnu en hændelse i en række angreb, da onde aktører udforsker systemets sårbarhed.
Cyberangreb fortsætter med at plage kryptoindustrien og understreger behovet for forbedret sikkerhed.
$3,8 millioners hack rammer Onyx Protocol
Blockchain-sikkerhedsfirmaet PeckShield fremhævede mistænkelige transaktioner på OnyxDAO, hvilket trak opmærksomhed til et muligt angreb på protokollen. I et opfølgende indlæg afslørede den on-chain detektiv tab på op til $3,8 millioner, idet hackeren allerede var i gang med at bytte midlerne.
Web3-sikkerhedsfirmaet Cyvers bekræftede hændelsen og citerede mistænkelige transaktioner, der involverede OnyxDAO på Ethereum-blockchainen. Ifølge Cyvers var størstedelen af tabet i VUSD stablecoin.
“Vores system har opdaget en mistænkelig transaktion, der involverer OnyxDAO på ETH-kæden! Det samlede tab er omkring $3,2 millioner [på det tidspunkt]. Størstedelen af tabene er i VUSD. Angriberen holder i øjeblikket 521 ETH ($1,36 millioner). Resten af de digitale aktiver er endnu ikke byttet,” skrev Cyvers her.
Læs mere: Krypto Projekt Sikkerhed: En Guide til Tidlig Trusseldetektion
Yderligere undersøgelser af PeckShield afslørede, at angriberen udnyttede et kendt præcisionsproblem præsenteret som en fejl i den forkede Compound V2-kodebase. Derefter tappede de 4,1 millioner VUSD, 7,35 millioner XCN, 5.000 DAI, 0,23 WBTC og 50.000 USDT. Rapporten angav, at fejlen udnyttede et næsten tomt marked til at manipulere vekselkursen.
Bemærkelsesværdigt anvendte hackere den samme tilgang i oktober 2023, hvor de hackede den samme protokol for $2,1 millioner. I oktober-hændelsen var sårbarheden en afrundingsfejl. På det tidspunkt tilskrev forskere sårbarheden til, at Onyx Protocol var en fork af Compound Finance.
Hvordan kode-sårbarheden opstår
Da mange DeFi-protokoller er open-source, har udviklere en tendens til at undgå den lange tilgang. De vælger at bygge videre på en eksisterende kode i stedet for at implementere funktionalitet fra bunden.
Tilgangen anses for populær, da den kan forbedre effektivitet og sikkerhed, når den udføres korrekt. Ulempen er, at hvis skabelonkoden ikke er sikker, kan forken arve sårbarhederne.
“I tilfældet med Onyx-protokollen havde Compound Finance-koden, som den anvendte, en kendt sårbarhed, der allerede var blevet udnyttet i Hundred Finance og Midas Capital, som også forkede Compound Finance-koden. Men Onyx Protocol brugte den samme kode og manglede det fællesskabsstøtte og opmærksomhed, der var nødvendig for at forhindre, at sårbarheden blev udnyttet,” rapporterede sikkerhedsfirmaet Halborn her.
Dette betyder, at Onyx Protocol-hacket kunne være blevet forhindret, givet forekomsten af afrundingsfejl. Vejledning findes allerede, når man lancerer nye markeder på Compound Finance og dets forks.
“Hos Hexagate anbefaler vi enhver Compound V2 fork, når de lancerer nye markeder, at præge nogle cTokens og brænde dem for at sikre, at den samlede forsyning aldrig går til nul. Når den samlede forsyning går til nul, bliver protokollen sårbar, og denne strategi afhjælper denne situation,” vejledte sikkerhedsfirmaet Hexgate i april 2023.
Læs mere: Hvad er Compound Finance?
Disse hændelser, herunder et $4,6 millioners angreb på den decentrale infrastruktur Truflation onsdag, afspejler den udbredte udfordring i kryptoindustrien, hvor onde aktører bruger forskellige mekanismer til at stjæle digitale aktiver.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
