根据区块链安全平台 Peck Shield 的一份报告,去中心化金融 (DeFi) 协议 Onyx 在 9 月 26 日被利用,损失了 380 万美元。该漏洞利用了Compound Finance v2代码库中的一个已知错误,该漏洞早在11月1日就已被用于利用Onyx。报告称,NFT清算合约中的漏洞也促成了该漏洞。
在 9 月 27 日的帖子中,Onyx 团队声称错误的 NFT 合约是漏洞利用的根本原因。
根据 Peck Shield 报告,410 万虚拟美元 (VUSD), 735 万枚 Onyxcoin (XCN)、0.23 Wrapped Bitcoin (WBTC)、价值 5,000 美元的 Dai (DAI) 稳定币和价值 50,000 美元的 Tether (USDT) 稳定币从协议中流失,总损失超过 380 万美元。
来源:Peck Shield。
Compound Finance 的第 2 版中存在已知漏洞,该版本是去中心化金融协议经常分叉和使用的代码库。它导致2023 年 4 月针对 Hundred Finance 的攻击。11 月,该漏洞首次被用于针对 Onyx。
相关:Onyx 协议遭受 210 万美元的 Hundred Finance 模仿攻击
只有当存在“空市场”或没有流动性的市场时,该缺陷才会被利用,这种情况通常只有在新市场推出时才会发生。
Onyx 团队在 X 帖子中承认了该漏洞。 “Onyx 协议遭受了一次安全事件,一名不法分子利用该协议从协议中耗尽了 VUSD,”它表示。然而,它声称已知的缺陷并不是其主要原因。它在一条帖子中表示:“主要问题不是空市场,而是 NFT 清算合约。”
Peck Shield 同意 NFT 合约是“促进黑客攻击的另一个问题” ”。有缺陷的合约允许攻击者“夸大自我清算奖励金额”,因为它没有“正确验证(不受信任的)用户输入”。
Onyx NFT cont拉克特漏洞。资料来源:Peck Shield。
DeFi 漏洞是 Web3 用户损失的常见来源。 9 月 27 日,流动质押协议 Bedrock 由于其 uniBTC 合约存在漏洞,损失超过 200 万美元。 9 月 23 日,攻击者利用错误的“buyFor”功能进行多次自我转账,夸大利润,导致 Bankroll Network 损失了 230,000 美元。