Onyx协议再次遭到黑客攻击，通过汇率漏洞被盗380万美元。

Onyx 借贷平台被盗金额达 380 万美元。安全审计中心 Hacken 分析了该平台上的异常活动，并评估了攻击的性质。. 

Onyx Protocol遭遇攻击，损失高达380万美元。此次攻击利用定制生成的恶意合约trac在调用Onyx前几分钟部署，成功盗取了协议的原生稳定币Virtual USD (VUSD)。这是Onyx自2023年11月3日以来的第二次黑客攻击，当时 总锁定价值(TVL )也遭遇了暴跌。此次攻击还引发了其他社交媒体攻击，攻击者伪造链接声称可以保护资产。最佳应对方法是仅与Onyx Protocol的官方社交媒体账号互动。 

Onyx宣布VUSD本身不受影响，将继续运行。然而，尽管有额外的抵押品，此次漏洞攻击最终还是破坏了该稳定币的锚定。VUSD暴跌至0.39美元的低点，并且未能立即恢复到1美元的标价水平。. 

虽然黑客最终盗取的金额不大，但该协议的损失可能更大。VUSD 代币的名义流通供应量超过 5100 万美元，但其当前市值仅为 1900 万美元。 

Onyx 的汇率面临精准的利用。

Onyx漏洞出现的原因之一是低流动性资金池的存在。Hacken的分析估计，该漏洞是由于某些交易对流动性不足时，汇率计算错误造成的。黑客准备了一份智能trac，将WETH兑换成Onyx ETH（oETH）。. 

黑客首先从 Balancer 借入 2,000 个 WETH，然后转移了多种加密资产。与此同时，恶意trac向 Onyx 发送了一系列小额 ETH 交易。通过这些兑换和资金池转移，黑客最终获得了 380 万个 VUSD，名义价值 380 万美元。. 

最后一笔交易成功提取了 30 万枚 VUSD，并使用 CoW 协议拆分交易将其兑换成了 ETH。由于交易出现了一些滑点，且 VUSD 的价格低于 1 美元的面值，因此其中一笔转出交易的金额为 19.1 万美元。 

Onyx的其他资产也受到影响。

针对 Onyx 资金池的一系列攻击影响了多种资产。Peckshielddent到 410 万 VUSD、735 万 Onyxcoin (XCN)、5000 DAI、0.23 WBTC 和 5 万 USDT 的转账。所有这些转账都发生在同一笔交易中，由恶意智能trac执行。. 

Onyx 是 Compound V2 的一个硬分叉，继承了该协议的所有缺陷。Onyx 本身之前也曾遭受过类似的攻击，攻击者利用了价值计算和流动性不足的交易对的汇率漏洞。. 

Sonne协议 在5月份再次遭到攻击，原因依然是Compound V2的已知缺陷，该缺陷影响了所有分叉项目，且至今尚未修复。每当该协议启动新的、未注资的交易对时，该缺陷就会显现。在动态的 DeFi 领域中，新交易对的引入加剧了这一问题，导致多次黑客攻击。 

由于计算失误，黑客可以调用协议的智能trac，以极少的抵押品换取更大的贷款。. 

当前的 Onyx 攻击与 Sonne 协议攻击的结构类似，同样以极少的抵押品盗取了大量代币。长达 56 笔的垃圾交易不断蚕食 Onyx 的汇率，使黑客能够以极少的抵押品提取所有资金。. 

目前为止，尚未有任何 NFT 受到影响。Onyx Protocol 托管了 Bored Ape (BAYC) 和 Mutated Ape (MAYC) NFT，可提供高达 37% 的年化被动收益。PeckShield 也检测到该项目的 NFT 合约存在漏洞 但这trac，导致其他攻击。

这次攻击可能是某个不法员工所为。

即使与单个钱包攻击相比，Onyx 协议攻击的规模也相对较小。但它对 VUSD 和其他资产价值的影响可能更大。不过，这次攻击也可能暴露了加密项目面临的另一个严重威胁——不法员工。. 

Onyx协议漏洞可能源于一名 朝鲜黑客 。研究人员声称，他们已联系Onyx团队，并提供了可能与朝鲜民主主义人民共和国（DRPK）黑客组织有关联的证据。 

另一方面，Compound V2 漏洞是众所周知的，利用该漏洞可能不需要内部知识。. 

克里斯蒂娜·瓦西列娃 (Hristina Vasieva) 的Cryptopolitan 报道