Хакеры применили старый эксплойт для повторного взлома Onyx на $3,8 млн

26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт. 

Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.

1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки. 

Аналитики утверждают, что ошибку Compound Finance v2 можно использовать только на «пустом рынке» или при отсутствии ликвидности. 

Неисправный NFT-контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом ввод данных пользователем».

Команда Onyx подтвердила инцидент и заявила, что основной причиной эксплойта является контракт для невзаимозаменяемых токенов.

https://twitter.com/OnyxDAO/status/1839444120060023167?ref_src=twsrc%5Etfw

ДАО инициирует голосование о перезапуске протокола и переосмыслит его управленческую составляющую. Разработчики предложили выпустить финансовую сеть с открытым исходным кодом Onyx Core, на базе которой будет функционировать взломанный Onyx Protocol. 

«Это предложение закроет рынок кредитования на базе Ethereum и возместит всем пострадавшим пользователям полный объем средств в соотношении 1:1 от предоставленных ими активов», — говорится в сообщении.

Ранее хакеры украли $2 млн из протокола рестейкинга биткоина Bedrock благодаря уязвимости в синтетическом токене uniBTC.

Напомним, в июле-сентябре криптовалютные компании столкнулись с 34 эпизодами взломов и мошенничества, убытки от которых составили более $413 млн, согласно Immunefi.