Хакеры применили старый эксплойт для повторного взлома Onyx на $3,8 млн

26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт.  It seems today's victim @OnyxDAO (w/ >$3.8m loss) falls prey to a known precision issue in forked CompoundV2 code base. The drained funds include 4.1m VUSD, 7.35m XCN, 5k DAI, 0.23 WBTC, 50k USDT.The bug is exploited to leverage a nearly empty market to manipulate the exchange… https://t.co/Apddu5aMbD pic.twitter.com/EKKRarFu5X— PeckShield Inc. (@peckshield) September 26, 2024 Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT. 1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.  Аналитики утверждают, что ошибку Compound Finance v2 можно использовать только на «пустом рынке» или при отсутствии ликвидности.  Неисправный NFT-контракт позволил злоумышленнику «завысить сумму вознаграждения за самоликвидацию», поскольку он «не проверял должным образом ввод данных пользователем». Команда Onyx подтвердила инцидент и заявила, что основной причиной эксплойта является контракт для невзаимозаменяемых токенов. Onyx Protocol Money Markets Post Mortem 🧵Onyx Protocol was subject to a security incident where a nefarious actor exploited the protocol to drain VUSD from the protocol. This exploit can be identified and understood from a vulnerability in the NFT Liquidation contract.— Onyx (@OnyxDAO) September 26, 2024 ДАО инициирует голосование о перезапуске протокола и переосмыслит его управленческую составляющую. Разработчики предложили выпустить финансовую сеть с открытым исходным кодом Onyx Core, на базе которой будет функционировать взломанный Onyx Protocol.  «Это предложение закроет рынок кредитования на базе Ethereum и возместит всем пострадавшим пользователям полный объем средств в соотношении 1:1 от предоставленных ими активов», — говорится в сообщении. Ранее хакеры украли $2 млн из протокола рестейкинга биткоина Bedrock благодаря уязвимости в синтетическом токене uniBTC. Напомним, в июле-сентябре криптовалютные компании столкнулись с 34 эпизодами взломов и мошенничества, убытки от которых составили более $413 млн, согласно Immunefi.