Протокол DeFi Onyx подвергся эксплойту на $3,2 миллиона, что стало второй атакой за год

Onyx, форк протокола DeFi кредитования Compound Finance, подвергся атаке на сумму $3,2 миллиона в четверг, что стало вторым случаем эксплуатации смарт-контракта протокола за последний год. 

По данным компании по безопасности Fuzzland, вредоносный контракт был развернут на Onyx в 11:57 утра, примерно за пять минут до атаки. Конкурирующие компании по безопасности PeckShield и Cyvers также заметили подозрительные транзакции на OnyxDAO до взлома. 

Cyvers отметила, что большинство потерь было в VUSD, стейблкоине, номинированном в долларах США. Подозреваемый злоумышленник также владеет 521 ETH стоимостью около $1,36 миллиона и, по данным Cyvers, колеблется с обменом украденных активов. 

По данным PeckShield, которая оценивает потери ближе к $3,8 миллиона, злоумышленник атаковал известную уязвимость в форкнутой кодовой базе Compound V2 и смог вывести VUSD, DAI и стейблкоины tether, среди других криптовалют. 

“Еще одна проблема, способствующая взлому, связана с контрактом NFTLiquidation, который неправильно проверяет (ненадежный) ввод пользователя и был использован для увеличения суммы вознаграждения за самоликвидацию,” написала Peckshield на X.

В октябре прошлого года Onyx подвергся атаке на $2,1 миллиона, использующей уязвимость округления целых чисел и атаку флэш-кредита. 

"В прошлом году это было из-за уязвимости, введенной при форке скомпрометированного кода Compound. На этот раз они сами ввели уязвимость через ошибки в своей логике," сообщил основатель Fuzzland Чаофан Шоу The Block в сообщении.