オリジナル | Odaily Planet Daily ( @OdailyChina )
著者 | 夫のハウ ( @vincent 31515173 )
昨日、融資プラットフォームの Onyx Protocol が脆弱性を利用してハッカーに攻撃され、盗まれた資金には 1,300 万 VUSD、735 万 XCN、5,000 DAI、0.23 WBTC、50,000 USDT が含まれていました。
CoinGeckoのデータによると、VUSDはすぐにアンアンカーされ、 24時間で72.43%下落し、0.2757ドルまで下落しました。執筆時点では、VUSDはまだアンアンカーですが、24時間の下落率は28.3%に縮小し、0.7228ドルまで反発しました。
オニキスプロトコル この盗難事件に対応して、提案書 OIP-46 がリリースされ、Onyx のオープンソース ライセンス金融ネットワーク Onyx Core を主要製品として再起動し、XCN Saking と協力して Onyx Core のガバナンスと Onyx Staker の報酬を確保することを提案しました。
提案によると、Onyx ProtocolはOnyx Core上でクローズドレンディングプロトコルとして実行され、ユーザーがNFTと実物資産(RWA)をラップして貸し出すことができると同時に、複数のチェーンからの暗号資産をサポートします。この動きにより、イーサリアムベースの融資市場は閉鎖され、影響を受けるすべてのユーザーが提供した資産に対して1:1の比率で全額補償されることになる。
イベントレビュー
9月26日20時48分、セキュリティ会社Cyvers platformは、同社のシステムがOnyxに関わる不審な取引を検出し、損失が320万米ドルに達した可能性があるとXに投稿した。
同日21時55分、セキュリティ会社ペックシールド社は、
その後、VUSD当局者は「セキュリティ侵害に遭遇し、1300万ドル以上のVUSDが盗まれた。その後、ハッカーは盗んだVUSDを流動性プールに売却し、結果として流通市場の流動性が約150万ドル失われた」との発表を行った。事件後、スマート コントラクトは、VUSD コード ベースに脆弱性がないことが確認されており、調査後にブラックリストに登録されます。完了すると、VUSD スマート コントラクト サービスが復元され、参加者は引き続き裁定取引を行うことができます。 」
公式には、VUSD は依然として過剰担保資産によって完全にサポートされており、機関ユーザーは市場価格で VUSD を償還および鋳造することができます。 VUSD は Onyx DAO および関連当局と協力して攻撃者を特定しており、将来的には小売店での引き換えに必要なライセンスを調査する予定です。
Onyx プロトコルはなぜ盗まれたのですか?
セキュリティ会社ペックシールドは、ハッキングの一因となった問題はNFT清算契約に関連しており、(信頼できない)ユーザー入力を適切に検証できなかったため、自己清算の報酬額が人為的につり上げられたと述べた。
Onyx Protocolは、 「ハッカーによるNFTLiquidation契約の脆弱性攻撃」に関するPeckShieldのツイートを引用し、ハッカーがこのプロトコルを使用してVUSDを流出させたと述べ、この脆弱性はNFT清算契約のセキュリティリスクから特定し理解することができると述べた。主な問題は空市場ではありませんが、 XCNステーキングとXCNファーミングは影響を受けません。
有名なセキュリティ会社 CertiK は Odaily Planet Daily に次のように語った:「Onyx Protocol の清算契約では、ユーザーが渡した oTokenCollate と oTokenRepay のアドレスが検証されていませんでした。簡単に言うと、攻撃者は展開した悪意のある契約を通じて Onyx プロトコルを騙し、借金を返済していたので、未払い金を返済することなくすべての担保が回収されました。」
PeckShield はまた、Onyx が盗まれた理由は、攻撃者によって悪用された、フォークされた Compound V2 コード ベースの既知の精度の問題である可能性があると述べました。 CertiKはまた、Compound V2の精度損失の問題によって引き起こされる「空市場の脆弱性」は実際に何度も攻撃されている既知の問題であると述べ、昨年のHundred Financeと今年5月のSonne Financeは両方とも精度損失により攻撃を受けたと述べた。
Odaily Planet Daily の調査では、昨年 11 月にも Onyx がハッカーに攻撃されたことが判明しました。この攻撃の理由も、ハッカーがフォークされたバージョンの Compound V2 の背後にある既知の丸めの問題を悪用したためでした。しかし当時、 OnyxコミュニティリーダーのAlex氏は、脆弱性は修正されており、フォローアップはパートナーと協力して対応していると述べた。
Onyx Protocolはイーサリアムエコシステムのオンチェーンレンディングプラットフォームであり、トークンとNFTのレンディング市場を提供することを目的としていると報告されており、トークン部分は開発プロセス中にCompound V2のコードを引用した可能性があり、これはフォークと考えられています。化合物V2の。ただし、当時の Compound V2 のコードには精度の問題があり、その後Compound 自体が関連する問題を修正しましたが、それ以前にフォークされたプロジェクトでは関連する問題が回避できません。
Onyx Protocol盗難のその後の推移について、Odaily Planet Dailyでは今後も注目していきたい。
