Onyx Protocol bị hack gần 4 triệu đô la

Giao thức Onyx đã chịu khoản lỗ 3,8 triệu đô la vào ngày 26 tháng 9, đánh dấu một sự cố khác trong làn sóng tấn công mạng ngày càng gia tăng nhắm vào các lỗ hổng trong hệ sinh thái tiền điện tử.

Những cuộc tấn công này nhấn mạnh những thách thức an ninh dai dẳng mà ngành công nghiệp này phải đối mặt, ngay cả khi các cơ quan chức năng trên thế giới tăng cường giám sát chặt chẽ.

Khi đầu tư của các tổ chức vào tiền điện tử tăng lên, một số nhà phân tích cảnh báo rằng các vụ tấn công đang diễn ra có thể làm suy yếu niềm tin của thị trường, có khả năng làm giảm tâm lý nhà đầu tư.

Các công ty bảo mật nêu bật vụ hack Onyx

Công ty bảo mật chuỗi khối PeckShield đã xác định các giao dịch đáng ngờ trênOnyxDAO , cho thấy khả năng tấn công vào giao thức.

Trong báo cáo tiếp theo, PeckShield tiết lộ tổng thiệt hại là 3,8 triệu đô la, và tin tặc đã tiến hành trao đổi số tiền bị đánh cắp.

Công ty bảo mật Web3 Cyvers đã xác nhận vụ vi phạm, trích dẫn hoạt động đáng ngờ trên blockchain Ethereum, với phần lớn tài sản bị đánh cắp ở dạng stablecoin VUSD.

Sự cố này bắt nguồn từ lỗi về độ chính xác trong cơ sở mã CompoundV2, cho phép tin tặc thao túng tỷ giá hối đoái và rút hết tài sản bao gồm VUSD, DAI, XCN, USDT và WBTC.

Cụ thể, kẻ tấn công đã lợi dụng một thị trường gần như trống rỗng để thao túng tỷ giá hối đoái và hút 4,1 triệu VUSD, 7,35 triệu XCN, 5.000 DAI, 0,23 WBTC và 50.000 USDT.

TRÊN X (trước đây gọi là Twitter) Onyx thừa nhận hoạt động bất thường này và đã tiến hành một cuộc điều tra khám nghiệm tử thi của bên thứ ba.

Sau khoảng bảy giờ, họ đã công bố báo cáo.

Cuộc tấn công này phản ánh mộtsự cố trước đó vào tháng 10 năm 2023 , khi tin tặc sử dụng một lỗ hổng tương tự, do lỗi làm tròn, để đánh cắp 2,1 triệu đô la.

Cả hai vụ vi phạm đều làm nổi bật các lỗ hổng liên quan đến trạng thái của Onyx Protocol là một nhánh của Compound Finance.

Vụ hack Onyx Protocol có thể đã được tránh

Trong mã nguồn mởTài chính phi tập trung không gian, các nhà phát triển thường chọn xây dựng trên mã hiện có thay vì phát triển chức năng mới từ đầu.

Mặc dù cách tiếp cận này có thể nâng cao hiệu quả và bảo mật khi thực hiện đúng cách, nhưng nó cũng có rủi ro.

Nếu mã cơ sở có lỗ hổng, chẳng hạn như lỗi làm tròn được thấy trong vụ tấn công Onyx Protocol, thì những lỗ hổng đó có thể được kế thừa từ dự án phân nhánh.

Công ty bảo mật Halborn đưa tin:

“Trong trường hợp của giao thức Onyx, mã Compound Finance mà nó sử dụng có một lỗ hổng đã biết đã bị khai thác trong Hundred Finance và Midas Capital, cũng là những công ty đã phân nhánh mã Compound Finance. Tuy nhiên, Onyx Protocol sử dụng cùng một mã và thiếu sự hỗ trợ của cộng đồng cũng như sự cảnh giác cần thiết để ngăn chặn lỗ hổng bị khai thác.”

Vi phạm này, vốn có thể tránh được nếu chú ý đúng mức đến hướng dẫn hiện hành về việc ra mắt thị trường trong Compound Finance và các nhánh của nó, lại làm nổi bật một vấn đề rộng hơn trong DeFi.

Công ty bảo mật Hexgate hướng dẫn vào tháng 4 năm 2023:

“Tại Hexagate, chúng tôi khuyến nghị bất kỳ fork Compound V2 nào, khi ra mắt thị trường mới để đúc một số cToken và đốt chúng để đảm bảo tổng nguồn cung không bao giờ về 0. Khi tổng nguồn cung về 0, giao thức trở nên dễ bị tấn công và chiến lược này sẽ giảm thiểu tình trạng này.”

CácMã não hack và các sự cố tương tự đã thu hút sự chú ý ngày càng tăng của cơ quan quản lý đối với thị trường tiền điện tử, khi các cơ quan này đặt mục tiêu bảo vệ tiền của người dùng khỏi những kẻ xấu.

Tuy nhiên, sự giám sát theo quy định, chẳng hạn như vụ kiện của SEC chống lại các sàn giao dịch tiền điện tử, cũng có thể cản trở sự đổi mới.

Các cuộc tấn công gần đây, bao gồm vụ hack 4,6 triệu đô la vào nhà cung cấp cơ sở hạ tầng phi tập trung Truflation, càng minh họa thêm thách thức đang diễn ra trong việc bảo vệ tài sản kỹ thuật số khỏi hành vi trộm cắp tinh vi trong ngành tiền điện tử.