Le protocole DeFi Onyx subit une exploitation de 3,2 millions de dollars, marquant la deuxième attaque en un an

Onyx, un fork du protocole de prêt DeFi Compound Finance, a subi une perte de 3,2 millions de dollars jeudi, marquant la deuxième fois que le contrat intelligent du protocole a été exploité au cours de l'année écoulée. 

Selon la société de sécurité Fuzzland, un contrat malveillant a été déployé sur Onyx à 11h57, environ cinq minutes avant que l'attaque ne se produise. Les sociétés de sécurité rivales PeckShield et Cyvers ont également remarqué des transactions suspectes sur OnyxDAO, avant le piratage. 

Cyvers a noté que la plupart des pertes concernaient le VUSD, un stablecoin libellé en dollars américains. L'attaquant présumé détient également 521 ETH d'une valeur d'environ 1,36 million de dollars et, selon Cyvers, a hésité à échanger les actifs volés. 

Selon PeckShield, qui estime la perte à environ 3,8 millions de dollars, l'attaquant a exploité un bug connu dans le code source forké de Compound V2 et a pu siphonner des stablecoins VUSD, DAI et tether, parmi d'autres cryptomonnaies. 

“Un autre problème qui facilite le piratage est lié au contrat NFTLiquidation, qui ne valide pas correctement les entrées utilisateur (non fiables) et a été exploité pour gonfler le montant de la récompense d'auto-liquidation,” a écrit Peckshield sur X.

En octobre dernier, Onyx a subi une attaque de 2,1 millions de dollars exploitant une vulnérabilité de l'arrondi des entiers et une attaque de prêt flash. 

"L'année dernière, c'était dû à une vulnérabilité introduite lorsqu'ils ont forké le code compromis de Compound. Cette fois, ils ont introduit une vulnérabilité eux-mêmes via des erreurs dans leur logique," a déclaré Chaofan Shou, fondateur de Fuzzland, à The Block dans un message.