Il protocollo Onyx è stato nuovamente hackerato per 3,8 milioni di dollari tramite exploit del tasso di cambio

La piattaforma di prestiti e prestiti Onyx è stata sfruttata per 3,8 milioni di dollari. Hacken, il centro di controllo della sicurezza, ha analizzato l'insolita attività sulla piattaforma e ha stimato la natura dell'attacco. 

Onyx Protocol è stato colpito da un exploit, subendo una perdita di 3,8 milioni di dollari. L'attacco è stato realizzato tramite un contratto malevolo generato su misuratracdistribuito pochi minuti prima di effettuare una chiamata a Onyx. L'hacker è riuscito a svuotare Virtual USD (VUSD), la stablecoin nativa del protocollo. Questo è il secondo attacco hacker per Onyx dal 3 novembre 2023, quando anche il TVL (Total Value Locked) del progetto è crollato. L'exploit ha portato ad ulteriori attacchi sui social media, con link falsi che promettevano di proteggere gli asset. Il modo migliore per agire è interagire solo con i canali social ufficiali di Onyx Protocol. 

Onyx ha annunciato che VUSD non è interessato e continuerà a funzionare. Tuttavia, l'exploit ha finito per distruggere il peg della stablecoin, nonostante il collaterale aggiuntivo. VUSD è crollato a un minimo di $ 0,39 e non ha recuperato immediatamente il suo livello nominale di $ 1. 

Sebbene la somma finale che l'hacker è riuscito a prelevare sia esigua, le perdite del protocollo potrebbero essere ben più ingenti. Il token VUSD ha una fornitura circolante nominale superiore a 51 milioni di dollari, ma la sua attuale capitalizzazione di mercato si attesta a 19 milioni di dollari. 

Onyx ha dovuto affrontare un exploit di precisione del suo tasso di cambio

Uno dei motivi dell'exploit di Onyx era la disponibilità di pool a bassa liquidità. L'analisi di Hacken ha stimato che l'exploit fosse dovuto a un errore di calcolo del tasso di cambio, in presenza di scarsa liquidità in alcune coppie. L'hacker ha preparato uno smarttracper scambiare WETH con Onyx ETH (oETH). 

Partendo da un prestito di 2.000 WETH da Balancer, l'hacker ha gestito diverse criptovalute. Allo stesso tempo, iltracdannoso ha infettato Onyx con una serie di transazioni ETH di basso valore. Il risultato degli swap e dei trasferimenti di pool ha fruttato all'hacker 3,8 milioni di VUSD, per un valore nominale di 3,8 milioni di dollari. 

L'ultima transazione è riuscita a prelevare 300.000 VUSD, che sono stati scambiati con ETH tramite il protocollo CoW. Le transazioni hanno causato un certo slittamento e il prezzo dei VUSD era inferiore al valore nominale di 1 dollaro, quindi una delle transazioni in uscita è stata di 191.000 dollari. 

Anche altri asset di Onyx sono stati interessati

La serie di attacchi contro i pool Onyx ha interessato diversi asset. Peckshield hadenttrasferimenti di 4,1 milioni di VUSD, 7,35 milioni di Onyxcoin (XCN), 5.000 DAI, 0,23 WBTC, 50.000 USDT. Tutti i trasferimenti sono avvenuti in un'unica transazione, eseguita dallo smarttracdannoso. 

Onyx è un hard fork di Compound V2, che presenta tutti i difetti del protocollo. Onyx stesso è già stato hackerato in precedenza in modo simile, sfruttando i calcoli del valore e il tasso di cambio su coppie illiquide. 

Il protocollo Sonne è stato sfruttato a maggio, sempre a causa di difetti noti su Compound V2, che hanno interessato tutti i progetti forkati e non sono stati riparati. Il difetto si verifica ogni volta che il protocollo avvia nuovi mercati non finanziati. L'introduzione di nuove coppie in uno DeFi ha amplificato il problema, portando a diversi attacchi informatici. 

A causa dell'errore di calcolo, l'hacker ha potuto chiamare lo smarttracdel protocollo e ricevere prestiti molto più grandi in cambio di garanzie trascurabili. 

L'attuale attacco Onyx ha una struttura simile all'attacco al protocollo Sonne, prelevando nuovamente una quantità considerevole di token per una garanzia minima. La lunga serie di 56 transazioni spam ha ridotto il tasso di cambio di Onyx, consentendo ancora una volta all'hacker di prelevare tutti i fondi per una garanzia minima. 

Finora, nessun NFT è stato colpito. Onyx Protocol ospita gli NFT Bored Ape (BAYC) e Mutated Ape (MAYC) per un reddito passivo annualizzato fino al 37%. PeckShield ha inoltre rilevato una falla nel contratto NFT del progetto ciòtrac,non abbia portato a ulteriori exploit.

L'attacco potrebbe essere opera di un dipendente disonesto

L'attacco al protocollo Onyx è relativamente limitato, anche rispetto agli attacchi ai singoli wallet. L'effetto sul valore di VUSD e di altri asset potrebbe essere maggiore. Tuttavia, l'attacco potrebbe esporre un'altra seria minaccia ai progetti crypto: i dipendenti disonesti. 

L'exploit del protocollo Onyx potrebbe essere dovuto a un hacker nordcoreano che si spaccia per uno sviluppatore del progetto. I ricercatori affermano di aver contattato il team di Onyx con potenziali prove di legami con gli hacker del DRPK. 

D'altro canto, la vulnerabilità Compound V2 è ben nota e potrebbe non aver richiesto conoscenze interne per essere sfruttata. 

Reportage Cryptopolitan di Hristina Vasileva