Onyx借贷平台已被利用380万美元。安全审计中心Hacken分析了平台上的异常活动,并估计了攻击的性质 ;
Onyx Protocol受到漏洞攻击,损失380万美元。攻击是通过一个自定义生成的恶意合约实现的,该合约在调用Onyx前几分钟部署。黑客设法耗尽了该协议的原生稳定币Virtual USD(VUSD)。这是自2023年11月3日以来Onyx的第二次黑客攻击,当时TVL该项目也崩溃了。该漏洞导致了更多的社交媒体攻击,虚假链接声称可以保护资产。最好的方法是只与Onyx Protocol的官方社交媒体互动 ;
Onyx宣布VUSD本身不受影响,将继续运行。然而,尽管有额外的抵押品,但这一漏洞最终破坏了稳定币的挂钩。VUSD跌至0.39美元的低点,并没有立即恢复到1美元的名义水平 ;
虽然黑客设法提取的最终金额很小,但协议的损失可能更大。VUSD代币的标称流通供应量高于5100万美元,但其目前的市值为1900万美元 ;
缟玛瑙面临汇率的精确利用
Onyx漏洞利用的原因之一是低流动性池的可用性。Hacken的分析估计,该漏洞是由于汇率计算错误造成的,当时一些货币对的流动性较低。黑客准备了一份智能合约,将WETH兑换为Onyx ETH(oETH) ;
从Balancer的2000 WETH贷款开始,黑客转移了几个加密资产。与此同时,恶意合约向Onyx发送了一系列低价值ETH交易的垃圾邮件。交换和池转移的结果使黑客获得了380万VUSD,名义价值380万美元 ;
最终交易成功提取了300K VUSD,并使用CoW协议分割交易将其兑换为ETH。这些交易造成了一些滑点,VUSD价格低于1美元的名义价格,因此其中一笔交易是19.1万美元;
Onyx的其他资产也受到了影响
对Onyx矿池的一系列袭击影响了几处资产。Peckfield确定了410万VUSD、735万Onyxcoin(XCN)、5千DAI、0.23 WBTC、5万USDT的转账。所有的转账都发生在一笔交易中,由恶意智能合约执行 ;
Onyx是一个Compound V2硬分叉,带有协议的所有缺陷。Onyx本身也曾遭受过类似的黑客攻击,利用价值计算和非流动性货币对的汇率 ;
Sonne协议5月,由于Compound V2上的已知缺陷,该漏洞再次被利用,影响了所有分叉项目,尚未得到修复。每当该协议启动新的、无资金支持的市场时,就会发现这一缺陷。在动态DeFi空间中引入新的对使问题成倍增加,导致了几次黑客攻击 ;
由于计算错误,黑客可以调用协议的智能合约,并获得更大的贷款,以换取微不足道的抵押品 ;
当前的Onyx攻击具有与Sonne协议黑客类似的结构,再次以最低的抵押品撤回大量代币。一连串的56笔垃圾邮件交易削弱了Onyx的汇率,再次允许黑客提取所有资金以换取小额抵押品 ;
到目前为止,还没有NFT受到影响。Onyx Protocol托管无聊猿(BAYC)和变异猿(MAYC)NFT,年被动收入高达37%。PeckShield还检测到该项目的一个缺陷NFT合同,尽管这并没有导致额外的漏洞。
这次袭击可能是流氓员工所为
即使与单个钱包攻击相比,Onyx协议攻击也相对较小。对VUSD和其他资产价值的影响可能更大。但这次攻击可能会暴露出加密项目面临的另一个严重威胁——流氓员工 ;
Onyx协议漏洞可能是由于朝鲜黑客冒充项目开发人员。研究人员声称,他们已经联系了Onyx团队,并提供了与DRPK黑客有联系的潜在证据 ;
另一方面,Compound V2漏洞是众所周知的,可能不需要内幕知识来利用 ;
Hristina Vasileva的加密货币报道