Original | Odaily Planeta diario (@OdailyChina)

Autor | Marido (@vincent 31515173)

Ayer, la plataforma de préstamos Onyx Protocol fue atacada por piratas informáticos utilizando vulnerabilidades, lo que provocó pérdidas por valor de más de 3,8 millones de dólares. Los fondos robados incluyeron 13 millones de VUSD, 7,35 millones de XCN, 5.000 DAI, 0,23 WBTC y 50.000 USDT.

Los datos de CoinGecko muestran que VUSD se desenganchó inmediatamente, cayendo tan bajo como $0,2757, con una caída de 24 horas del 72,43%. En el momento de la publicación, VUSD todavía estaba desanclada, pero había subido a $0,7228, con una caída de 24 horas que se redujo al 28,3%.

En respuesta a este robo, Onyx Protocol emitió la propuesta OIP-46, que recomendaba relanzar la red financiera autorizada de código abierto de Onyx, Onyx Core, como producto principal, trabajando con XCN Stake para garantizar la gobernanza de Onyx Core y las recompensas de Onyx Staker.

Según la propuesta, Onyx Protocol se ejecutará como un protocolo de préstamos cerrado en Onyx Core, lo que permitirá a los usuarios empaquetar y prestar NFT y activos del mundo real (RWA), al tiempo que admite criptoactivos de múltiples cadenas. La medida cerrará el mercado de préstamos basado en Ethereum y compensará completamente a todos los usuarios afectados en una proporción de 1:1 por los activos que proporcionan.

Revisión del evento

A las 20:48 del 26 de septiembre, la plataforma de la empresa de seguridad Cyvers emitió un documento sobre X. Su sistema detectó transacciones sospechosas que involucraban a Onyx y la pérdida pudo haber alcanzado los 3,2 millones de dólares.

A las 21:55 del mismo día, la empresa de seguridad PeckShield emitió un documento sobre la

Posteriormente, los funcionarios de VUSD emitieron un anuncio que decía: "Encontramos una violación de seguridad, lo que resultó en el robo de más de 13 millones de dólares estadounidenses en VUSD. Luego, los piratas informáticos vendieron el VUSD robado a un fondo de liquidez, lo que resultó en una pérdida de aproximadamente 1,5 millones de dólares estadounidenses en Liquidez del mercado secundario Después del incidente, el contrato inteligente se suspendió para permitir una comunicación adecuada. Actualmente se confirma que no hay vulnerabilidades en la base del código VUSD y los actores maliciosos se incluirán en la lista negra de acuerdo con los términos de servicio. Una vez completada la investigación, el servicio de contrato inteligente de VUSD se restablecerá y los participantes podrán continuar con el arbitraje”.

Oficialmente, VUSD todavía está totalmente respaldado por activos con exceso de garantía, y los usuarios institucionales pueden canjear y acuñar VUSD a precios de mercado. VUSD está trabajando con Onyx DAO y las autoridades pertinentes para identificar a los atacantes y planea explorar las licencias necesarias para los canjes minoristas en el futuro.

¿Por qué robaron el protocolo Onyx?

La firma de seguridad PeckShield dijo que los problemas que contribuyeron al hack estaban relacionados con el contrato de liquidación de NFT, que no validó adecuadamente las entradas de los usuarios (no confiables), lo que provocó que el monto de la recompensa de autoliquidación se inflara artificialmente.

Onyx Protocol citó el tweet de PeckShield sobre "piratas informáticos que aprovechan los ataques de vulnerabilidad del contrato de liquidación NFT" y afirmó que los piratas informáticos utilizaron el protocolo para drenar VUSD. Esta vulnerabilidad se puede identificar y comprender a partir de un riesgo de seguridad en el contrato de compensación de NFT. El principal problema no es el mercado vacío, pero el contrato de liquidación de NFT XCN y XCN Farming no se ven afectados.

La conocida empresa de seguridad CertiK dijo a Odaily Planet Daily: "El contrato de liquidación del Protocolo Onyx no verificó las direcciones oTokenCollateral y oTokenRepay ingresadas por el usuario. En pocas palabras, el atacante engañó al protocolo Onyx a través del contrato malicioso implementado por él mismo y que había devolvió la deuda, por lo que se recuperaron todas las garantías sin pagar lo adeudado”.

PeckShield también mencionó que el motivo del robo de Onyx puede ser un problema de precisión conocido en la base del código bifurcado Compound V2, que ha sido explotado por los atacantes. CertiK también afirmó que la "vulnerabilidad del mercado vacío" causada por el problema de pérdida de precisión del Compuesto V2 es de hecho un problema conocido que ha sido atacado muchas veces el año pasado y Sonne Finance fue atacado en mayo de este año debido a la pérdida de precisión.

Una investigación de Odaily Planet Daily descubrió que Onyx también fue atacado por piratas informáticos en noviembre del año pasado. El motivo del ataque también fue porque los piratas informáticos explotaron el conocido problema de redondeo detrás de la versión bifurcada de Compound V2. Pero en ese momento, el líder de la comunidad de Onyx, Alex, dijo que la vulnerabilidad se había solucionado y que el seguimiento se estaba manejando con los socios.

Se informa que Onyx Protocol es una plataforma de préstamos en cadena en el ecosistema Ethereum, cuyo objetivo es proporcionar un mercado de préstamos para tokens y NFT. La parte del token puede haber citado el código del Compound V2 durante el proceso de desarrollo, que se considera una bifurcación. del Compuesto V2. Sin embargo, el código de Compound V2 en ese momento tenía problemas de precisión. Posteriormente, el propio Compound modificó los problemas relacionados, pero los proyectos que se bifurcaron antes de esto no pueden evitar problemas relacionados.

Con respecto al progreso posterior del robo del Protocolo Onyx, Odaily Planet Daily seguirá prestando atención.