Trong vụ vi phạm an ninh gần đây nhất, Onyx Protocol, một dự án tài chính phi tập trung (DeFi), đã trở thành nạn nhân của một vụ khai thác liên quan đếnkhoản vay nhanh , dẫn đến việc mất số tiền Ethereum (ETH) trị giá khoảng 2,1 triệu đô la.

Nhà điều tra blockchain PeckShield đã nhanh chóng đưa ra cảnh báo vềgian lận , điều này đã không được giao thức chú ý cho đến lúc đó.

#PeckShieldCảnh báo@OnyxProtocol đã được khai thác với giá ~2,1 triệupic.twitter.com/5Z50tCg6MD
- PeckShieldAlert (@PeckShieldAlert)Ngày 1 tháng 11 năm 2023
Một

Theo báo cáo, địa chỉ ví của kẻ khai thác Giao thức Onyx hiện có số dư 1.164 ETH, tương đương khoảng 2,1 triệu USD mà những kẻ độc hại đã chiếm đoạt thông quakhai thác .

Vi phạm này được khởi xướng bởi hacker Giao thức Onyx, kẻ đã lợi dụng một lỗi đã biết liên quan đến một đợt phân nhánh CompositeV2 phổ biến.

Thủ phạm bị nghi ngờ đã lợi dụng vấn đề làm tròn trong thị trường oPEPE, được cho là thiếu thanh khoản, để vay vốn từ các thị trường khác.

Chiến thuật này đã được trình bày chi tiết trong cuộc điều tra độc lập của PeckShield.

Lỗi tương tự đã bị khai thác

Điều đáng chú ý là đây không phải là một sự cố cá biệt; một lỗi tương tự đã bị khai thác trước đó để lấy trộm 7 triệu đô la từ giao thức cho vay đa chuỗi Hundred Finance.

Trong trường hợp đó, kẻ tấn công đã thao túng tỷ giá hối đoái giữa token ERC-20 và hTOKENS, cho phép chúng rút nhiều token hơn số tiền gửi ban đầu, như đã được CertiK xác nhận.

#CertiKSkynetAlert 🚨@TrămTài chính’ Kẻ tấn công đã thao túng tỷ giá hối đoái giữa mã thông báo ERC-20 và mã thông báo htokens, cho phép chúng rút nhiều mã thông báo hơn số tiền họ đã gửi ban đầu. Thiệt hại ước tính của cuộc tấn công này là khoảng 7,4 triệu USD.

Hãy cảnh giác! https://t.co/1hxAnFoNjj<br/>— Cảnh báo CertiK (@CertiKAlert) ANgày 15 tháng 4 năm 2023<br/> a

Kẻ tấn công khai thác giao thức Onyx như thế nào?

Phương pháp của kẻ tấn công liên quan đến việc khởi xướng kế hoạch này bằng một khoản quyên góp có vẻ tầm thường cho thị trường oPEPE.

Khoản đóng góp ban đầu này đóng vai trò là tài sản thế chấp để đảm bảo khoản vay đáng kể từ các thị trường có đủ thanh khoản.

Sau đó, số tiền vay đã được hoàn lại và việc khai thác được thực hiện bằng cách tận dụng vấn đề làm tròn.

Hành vi trộm cắp này được tạo điều kiện thuận lợi bởi thực tế là thị trường oPEPE chỉ mới được thành lập trước đó 5 ngày và không có vốn, tạo cơ hội chín muồi để khai thác.

Trong bản phân tích chi tiết hơn về vụ việc, kẻ tấn công đã thực hiện một khoản vay nhanh 4.000 ETH từ Aave, một giao thức thanh khoản nguồn mở và sau đó đổi nó lấy đồng meme, PEPE, trước khi khai thác hợp đồng thông minh oPEPE trên Onyx.

Alex Onyx, Trưởng nhóm cộng đồng của Onyx Protocol, đã thừa nhận hành vi trộm cắp và xác nhận rằng lỗ hổng đã được giải quyết.

Nhóm đang tích cực làm việc để bảo mật giao thức hơn nữa.

TRÊNX (trước đây gọi là Twitter) , Alex bày tỏ nhận thức về tình hình và đưa ra sự đảm bảo rằng các bước đang được thực hiện để giảm thiểu rủi ro trong tương lai.