26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт.
Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.
1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.
Аналитики утверждают, что ошибку Compound Finance v2 можно использовать только на «пустом рынке» или при отсутствии ликвидности.
Неисправный NFT-контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом ввод данных пользователем».
Команда Onyx подтвердила инцидент и заявила, что основной причиной эксплойта является контракт для невзаимозаменяемых токенов.
ДАО инициирует голосование о перезапуске протокола и переосмыслит его управленческую составляющую. Разработчики предложили выпустить финансовую сеть с открытым исходным кодом Onyx Core, на базе которой будет функционировать взломанный Onyx Protocol.
«Это предложение закроет рынок кредитования на базе Ethereum и возместит всем пострадавшим пользователям полный объем средств в соотношении 1:1 от предоставленных ими активов», — говорится в сообщении.
Ранее хакеры украли $2 млн из протокола рестейкинга биткоина Bedrock благодаря уязвимости в синтетическом токене uniBTC.
Источник: forklog.com