Bản gốc | Nhật báo hành tinh Odaily ( @OdailyChina )
Tác giả | Chồng thế nào ( @vincent 31515173 )
Hôm qua, nền tảng cho vay Onyx Protocol đã bị tin tặc tấn công bằng lỗ hổng, dẫn đến tổn thất trị giá hơn 3,8 triệu USD. Số tiền bị đánh cắp bao gồm 13 triệu VUSD, 7,35 triệu XCN, 5.000 DAI, 0,23 WBTC và 50.000 USDT.
Dữ liệu của CoinGecko cho thấy VUSD ngay lập tức không được neo, giảm xuống mức thấp nhất là 0,2757 USD, với mức giảm trong 24 giờ là 72,43%. Tính đến thời điểm viết bài, VUSD vẫn chưa được neo, nhưng đã phục hồi lên 0,7228 USD, với mức giảm trong 24 giờ thu hẹp xuống còn 28,3%.
Giao thức Onyx Để đối phó với vụ trộm cắp này, Đề xuất OIP-46 đã được đưa ra, đề xuất khởi chạy lại mạng tài chính được cấp phép nguồn mở Onyx Core của Onyx làm sản phẩm chính, hợp tác với XCN Stake để đảm bảo quyền quản trị Onyx Core và phần thưởng của Onyx Staker.
Theo đề xuất, Giao thức Onyx sẽ hoạt động như một giao thức cho vay khép kín trên Onyx Core, cho phép người dùng gói và cho vay NFT cũng như tài sản thực (RWA), đồng thời hỗ trợ tài sản tiền điện tử từ nhiều chuỗi. Động thái này sẽ đóng cửa thị trường cho vay dựa trên Ethereum và bồi thường đầy đủ cho tất cả người dùng bị ảnh hưởng theo tỷ lệ 1:1 đối với tài sản họ cung cấp.
Đánh giá sự kiện
Vào lúc 20:48 ngày 26 tháng 9, công ty bảo mật nền tảng Cyvers đăng trên X rằng hệ thống của họ đã phát hiện các giao dịch đáng ngờ liên quan đến Onyx và khoản lỗ có thể lên tới 3,2 triệu USD.
Vào lúc 21h55 cùng ngày, công ty bảo mật PeckShield đã ban hành văn bản về việc
Các quan chức của VUSD sau đó đã đưa ra thông báo cho biết: Đã gặp phải vi phạm an ninh, dẫn đến việc đánh cắp hơn 13 triệu đô la VUSD. Sau đó, tin tặc đã bán số VUSD bị đánh cắp cho một nhóm thanh khoản, dẫn đến mất khoảng 1,5 triệu đô la thanh khoản trên thị trường thứ cấp. Sau sự cố, hợp đồng thông minh đã bị đình chỉ để cho phép liên lạc thích hợp. Hiện tại, người ta xác nhận rằng không có lỗ hổng nào trong cơ sở mã VUSD và các tác nhân độc hại sẽ bị đưa vào danh sách đen theo các điều khoản dịch vụ. hoàn tất, dịch vụ hợp đồng thông minh VUSD sẽ được khôi phục và người tham gia có thể Tiếp tục giao dịch chênh lệch giá. ”
Về mặt chính thức, VUSD vẫn được hỗ trợ đầy đủ bởi các tài sản thế chấp quá mức và người dùng tổ chức có thể mua lại và đúc VUSD theo giá thị trường. VUSD đang làm việc với Onyx DAO và các cơ quan hữu quan để xác định những kẻ tấn công và có kế hoạch khám phá các giấy phép cần thiết để đổi quà bán lẻ trong tương lai.
Tại sao Giao thức Onyx bị đánh cắp?
Công ty bảo mật PeckShield cho biết các vấn đề góp phần gây ra vụ hack có liên quan đến hợp đồng thanh lý NFT, không xác thực đúng thông tin đầu vào của người dùng (không đáng tin cậy), khiến số tiền thưởng tự thanh lý bị tăng cao một cách giả tạo.
Onyx Protocol trích dẫn dòng tweet của PeckShield về “tin tặc khai thác các cuộc tấn công lỗ hổng hợp đồng NFTLiquidation” và tuyên bố rằng tin tặc đã sử dụng giao thức để rút VUSD khỏi nó. Lỗ hổng này có thể được xác định và hiểu từ rủi ro bảo mật trong hợp đồng thanh toán bù trừ NFT. Vấn đề chính không phải là Thị trường trống mà là hợp đồng Thanh lý NFT và XCN Farming không bị ảnh hưởng.
Công ty bảo mật nổi tiếng CertiK nói với Odaily Planet Daily: “Hợp đồng thanh lý của Onyx Protocol không xác minh địa chỉ oTokenCollater và oTokenRepay được người dùng chuyển vào. Nói một cách đơn giản, kẻ tấn công đã đánh lừa giao thức Onyx thông qua hợp đồng độc hại mà anh ta đã triển khai và rằng anh ta đã trả nợ nên toàn bộ tài sản thế chấp đã được thu hồi mà không phải trả lại số nợ.”
PeckShield cũng đề cập rằng lý do khiến Onyx bị đánh cắp có thể là do vấn đề về độ chính xác đã được biết đến trong cơ sở mã phức hợp V2 phân nhánh, vốn đã bị kẻ tấn công khai thác. CertiK cũng tuyên bố rằng Lỗ hổng thị trường trống do vấn đề mất độ chính xác của Hợp chất V2 thực sự là một vấn đề đã biết đã bị tấn công nhiều lần vào năm ngoái và Sonne Finance vào tháng 5 năm nay đều bị tấn công do mất độ chính xác.
Một cuộc điều tra của Odaily Planet Daily cho thấy Onyx cũng bị tin tặc tấn công vào tháng 11 năm ngoái. Nguyên nhân của cuộc tấn công cũng là do tin tặc đã khai thác vấn đề làm tròn đã biết đằng sau phiên bản rẽ nhánh của Hợp chất V2. Nhưng vào thời điểm đó, lãnh đạo cộng đồng Onyx Alex cho biết lỗ hổng đã được khắc phục và việc theo dõi đang được xử lý cùng các đối tác.
Được biết, Onyx Protocol là một nền tảng cho vay on-chain trong hệ sinh thái Ethereum, nhằm mục đích cung cấp thị trường cho vay đối với token và NFT. Phần token có thể đã trích dẫn mã của Hợp chất V2 trong quá trình phát triển , được coi là một fork. của hợp chất V2. Tuy nhiên, mã của Hợp chất V2 vào thời điểm đó có vấn đề về độ chính xác. Sau đó, bản thân Hợp chất đã sửa đổi các vấn đề liên quan, nhưng các dự án đã phân nhánh trước đó không thể tránh khỏi các vấn đề liên quan.
Về diễn biến tiếp theo của việc Giao thức Onyx bị đánh cắp, Odaily Planet Daily sẽ tiếp tục chú ý.