Le protocole Onyx a de nouveau été piraté, dérobant 3,8 millions de dollars grâce à une faille dans le taux de change

La plateforme de prêt et d'emprunt Onyx a été victime d'une escroquerie ayant entraîné un vol de 3,8 millions de dollars. Hacken, plateforme d'audit de sécurité, a analysé l'activité inhabituelle sur la plateforme et a estimé la nature de l'attaque. 

malveillant personnalisétrac, déployé quelques minutes avant l'appel à Onyx. Le pirate a réussi à vider les réserves de Virtual USD (VUSD), le stablecoin natif du protocole. Il s'agit du deuxième piratage d'Onyx depuis le 3 novembre 2023, date à laquelle la TVL du projet s'était également effondrée. Cette faille a engendré d'autres attaques sur les réseaux sociaux, avec de faux liens prétendant protéger les actifs. Il est donc fortement conseillé d'interagir uniquement avec les comptes officiels du protocole Onyx sur les réseaux sociaux. 

Onyx a annoncé que le VUSD lui-même n'est pas affecté et continuera de fonctionner. Cependant, la faille a entraîné la rupture de son ancrage, malgré les garanties supplémentaires. Le VUSD a chuté à 0,39 $ et n'a pas immédiatement retrouvé son niveau nominal de 1 $. 

Bien que la somme finalement dérobée par le pirate soit faible, les pertes du protocole pourraient être plus importantes. Le jeton VUSD a une offre en circulation nominale supérieure à 51 millions de dollars, mais sa capitalisation boursière actuelle s'élève à 19 millions de dollars. 

Onyx a été confronté à une exploitation précise de son taux de change

L'une des raisons de l'exploitation de la faille Onyx était la disponibilité de pools à faible liquidité. L'analyse de Hacken a estimé que l'exploitation était due à une erreur de calcul du taux de change, en cas de faible liquidité sur certaines paires. Le pirate a préparé untracintelligent pour échanger des WETH contre des ETH Onyx (oETH). 

Partant d'un prêt de 2 000 WETH auprès de Balancer, le pirate a effectué des transactions sur plusieurs cryptomonnaies. Parallèlement, letracmalveillant a inondé Onyx de transactions ETH de faible valeur. Ces échanges et transferts de fonds ont permis au pirate d'empocher 3,8 millions de VUSD, soit environ 3,8 millions de dollars. 

La dernière transaction a permis de retirer 300 000 VUSD, convertis en ETH via le protocole CoW. Ces transactions ont entraîné un glissement de cours, le prix du VUSD étant inférieur à 1 $ (valeur nominale). Par conséquent, l'une des transactions sortantes s'élevait à 191 000 $. 

D'autres actifs d'Onyx ont également été affectés

La série d'attaques contre les pools Onyx a affecté plusieurs actifs. Peckshield adentdes transferts de 4,1 millions de VUSD, 7,35 millions d'Onyxcoin (XCN), 5 000 DAI, 0,23 WBTC et 50 000 USDT. Tous ces transferts ont eu lieu en une seule transaction, exécutée par untracintelligent malveillant. 

Onyx est une bifurcation dure de Compound V2, et elle en reprend toutes les failles. Onyx a déjà été piraté de manière similaire, exploitant des erreurs de calcul de valeur et le taux de change sur des paires illiquides. 

Le protocole Sonne a été exploité en mai, une fois de plus en raison de failles connues de Compound V2, affectant tous les projets dérivés et n'ayant toujours pas été corrigées. Cette faille est constatée à chaque lancement de nouveaux marchés non financés. L'introduction de nouvelles paires dans un DeFi a amplifié le problème, entraînant plusieurs piratages. 

En raison de cette erreur de calcul, le pirate informatique pouvait activer letracintelligent du protocole et obtenir des prêts beaucoup plus importants en échange de garanties négligeables. 

L'attaque actuelle contre Onyx présente une structure similaire à celle du piratage du protocole Sonne : le pirate a de nouveau réussi à dérober une quantité importante de jetons contre une garantie minimale. La longue série de 56 transactions frauduleuses a progressivement fait chuter le cours de l'Onyx, permettant une fois de plus au pirate de retirer tous les fonds avec une garantie dérisoire. 

À ce jour, aucun NFT n'a été affecté. Onyx Protocol héberge les NFT Bored Ape (BAYC) et Mutated Ape (MAYC) offrant jusqu'à 37 % de revenus passifs annualisés. PeckShield a également détecté une faille dans le contrat NFT du projet maistrac.celle-ci n'a pas encore permis d'exploiter une nouvelle vulnérabilité

L'attaque pourrait être l'œuvre d'un employé malveillant

L'attaque du protocole Onyx est relativement mineure, même comparée aux attaques ciblant des portefeuilles individuels. Son impact sur la valeur du VUSD et d'autres actifs pourrait être plus important. Mais cette attaque pourrait aussi révéler une autre menace sérieuse pour les projets crypto : les employés malveillants. 

La faille du protocole Onyx pourrait être due à un pirate informatique nord-coréen se faisant passer pour un développeur du projet. Des chercheurs affirment avoir contacté l'équipe Onyx et lui avoir fourni des preuves potentielles de liens avec les pirates de DRPK. 

En revanche, la vulnérabilité de Compound V2 est bien connue et n'a peut-être pas nécessité de connaissances internes pour être exploitée. 

Reportage Cryptopolitan de Hristina Vasileva