Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Протокол Onyx снова взломан, в результате чего было украдено 3,8 млн долларов США из-за уязвимости обменного курса
- Компания Onyx Protocol заметила необычную активность: хакер направил вредоносный смарт-tracна хранилища с низкой ликвидностью.
- В результате взлома было украдено до 3,8 млн долларов, при этом уже было совершено сделок на сумму 300 000 VUSD.
- Протокол Onyx, как и другие DeFi хабы, унаследовал недостатки хардфорка Curve Finance и уязвим для аналогичных атак.
Платформа кредитования и заимствования Onyx была взломана на сумму 3,8 млн долларов. Компания Hacken, специализирующаяся на аудите безопасности, проанализировала необычную активность на платформе и оценила характер атаки.
Протокол Onyx пострадал от взлома, в результате которого были потеряны 3,8 млн долларов. Атака была осуществлена с помощью специально сгенерированного вредоносного контрактаtracразвернутого за несколько минут до вызова Onyx. Хакеру удалось вывести виртуальные доллары США (VUSD), собственный стейблкоин протокола. Это уже второй взлом Onyx с 3 ноября 2023 года, когда TVL проекта. Взлом привел к дополнительным атакам в социальных сетях с использованием поддельных ссылок, якобы защищающих активы. Лучший подход — взаимодействовать только с официальными страницами протокола Onyx в социальных сетях.
Компания Onyx объявила, что VUSD не пострадал и продолжит функционировать. Однако, несмотря на дополнительное обеспечение, эксплойт в итоге разрушил привязку стейблкоина к доллару. VUSD рухнул до минимума в 0,39 доллара и не сразу восстановил свой номинальный уровень в 1 доллар.
Хотя окончательная сумма, которую хакеру удалось вывести, невелика, потери протокола могут быть более значительными. Номинальное количество токенов VUSD в обращении превышает 51 миллион долларов, но их текущая рыночная капитализация составляет 19 миллионов долларов.
Компания Onyx столкнулась с целенаправленной эксплуатацией своего обменного курса
Одной из причин уязвимости Onyx стало наличие пулов с низкой ликвидностью. Анализ, проведенный Hacken, показал, что уязвимость возникла из-за ошибки в расчете обменного курса, когда в некоторых валютных парах наблюдается низкая ликвидность. Хакер подготовил смарт-tracдля обмена WETH на Onyx ETH (oETH).
Начав с займа в 2000 WETH от Balancer, хакер переместил несколько криптоактивов. Одновременно с этим вредоносныйtracзаспамил Onyx серией транзакций с ETH низкой стоимости. В результате обменов и переводов в пулы хакер получил 3,8 млн VUSD, номинальная стоимость которых составляет 3,8 млн долларов.
В результате финальной транзакции удалось вывести 300 000 VUSD, которые были обменяны на ETH с использованием разделенных сделок протокола CoW. В результате транзакций произошло некоторое проскальзывание, и цена VUSD оказалась ниже номинальной отметки в 1 доллар, поэтому одна из исходящих транзакций составила 191 000 долларов.
Другие активы Onyx также пострадали
Серия атак на пулы Onyx затронула несколько активов. Peckshielddentпереводы 4,1 млн VUSD, 7,35 млн Onyxcoin (XCN), 5 тыс. DAI, 0,23 WBTC и 50 тыс. USDT. Все переводы произошли в одной транзакции, осуществленной с помощью вредоносного смарт-trac.
Onyx — это хардфорк Compound V2, несущий в себе все недостатки протокола. Сам Onyx уже подвергался взлому аналогичным образом, используя уязвимости в расчетах стоимости и обменном курсе неликвидных валютных пар.
протокол Sonne был взломан, опять же из-за известных уязвимостей в Compound V2, которые затронули все форкнутые проекты и до сих пор не устранены. Уязвимость проявляется всякий раз, когда протокол запускает новые, нефинансируемые рынки. Введение новых пар в динамичном DeFi усугубило проблему, приведя к нескольким взломам.
Из-за ошибки в расчетах хакер мог бы активировать смарт-tracпротокола и получить гораздо более крупные кредиты в обмен на ничтожное обеспечение.
Текущая атака на Onyx имеет схожую структуру со взломом Sonne Protocol, снова с выводом значительного количества токенов под минимальное обеспечение. Длинная серия из 56 спам-транзакций постепенно снижала обменный курс Onyx, что снова позволило хакеру вывести все средства под ничтожно малое обеспечение.
Пока что ни один NFT не пострадал. Onyx Protocol размещает NFT Bored Ape (BAYC) и Mutated Ape (MAYC), обеспечивая пассивный доход до 37% годовых. PeckShield также обнаружил уязвимость в контракте NFT проекта этоtrac,не привело к дополнительной эксплуатации уязвимости.
Нападение, возможно, совершено недобросовестным сотрудником
Атака на протокол Onyx относительно невелика, даже по сравнению с атаками на отдельные кошельки. Влияние на стоимость VUSD и других активов может быть более значительным. Но эта атака может выявить еще одну серьезную угрозу для криптопроектов – недобросовестных сотрудников.
Уязвимость протокола Onyx, возможно, связана с действиями северокорейского хакера, выдающего себя за разработчика проекта. Исследователи утверждают, что связались с командой Onyx и предоставили потенциальные доказательства связей с хакерами DRPK.
С другой стороны, уязвимость Compound V2 хорошо известна и для её эксплуатации, возможно, не требовались знания, полученные внутри компании.
Cryptopolitan репортаж Кристины Васильевой
Если вы хотите более спокойно начать знакомство с DeFi криптовалютами без привычного ажиотажа, начните с этого бесплатного видео.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtrondentdentdentdentdentdentdentdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
КУРС
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)