Theo báo cáo từ nền tảng bảo mật blockchain PeckShield, giao thức DeFi Onyx đã bị exploit 3,8 triệu đô la vào ngày 26 tháng 9. Cuộc tấn công này lợi dụng một lỗ hổng đã biết trong codebase của Compound Finance v2 – lỗ hổng này từng bị lợi dụng để exploit Onyx vào ngày 1 tháng 11 năm ngoái. Một lỗ hổng trong hợp đồng thanh lý NFT cũng đã góp phần vào sự cố này.
Trong bài đăng ngày 27 tháng 9 trên X, nhóm Onyx xác nhận rằng hợp đồng NFT bị lỗi là nguyên nhân chính dẫn đến lỗ hổng. PeckShield cho biết các tài sản bị rút bao gồm 4,1 triệu USD ảo (VUSD), 7,35 triệu Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), 5.000 đô la stablecoin Dai (DAI) và 50.000 đô la USDT, tổng thiệt hại lên tới hơn 3,8 triệu đô la.
It seems today’s victim @OnyxDAO (w/ >$3.8m loss) falls prey to a known precision issue in forked CompoundV2 code base. The drained funds include 4.1m VUSD, 7.35m XCN, 5k DAI, 0.23 WBTC, 50k USDT.
The bug is exploited to leverage a nearly empty market to manipulate the exchange… https://t.co/Apddu5aMbD pic.twitter.com/EKKRarFu5X
— PeckShield Inc. (@peckshield) September 26, 2024
Lỗ hổng này đã tồn tại trong phiên bản 2 của Compound Finance, một codebase thường được fork và sử dụng bởi nhiều giao thức DeFi, dẫn đến vụ exploit Hundred Finance vào tháng 4 năm 2023. Vào tháng 10 năm 2023, lỗ hổng này lần đầu tiên bị lợi dụng để tấn công Onyx.
Nhóm Onyx đã thừa nhận sự cố trong bài đăng trên X, cho biết:
“Onyx Protocol đã gặp phải một sự cố bảo mật khi một tác nhân xấu khai thác giao thức để rút VUSD.”
Tuy nhiên, họ nhấn mạnh rằng lỗ hổng đã biết không phải là nguyên nhân chính, mà vấn đề chính là do hợp đồng thanh lý NFT. PeckShield cũng đồng tình rằng hợp đồng NFT là “một vấn đề khác tạo điều kiện cho vụ tấn công,” cho phép kẻ tấn công “tăng tiền thưởng nhận được khi thực hiện việc tự thanh lý tài sản” do không xác thực đúng thông tin đầu vào của người dùng.
Tham gia Telegram: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- PeckShield cảnh báo sàn Indodax bị exploit 15,7 triệu đô la
- Giao thức Penpie bị exploit, thiệt hại 27 triệu đô la
Annie
Theo Cointelegraph
