Onyx Protocol, Compound Finance -haarukka, kärsi 3,8 miljoonan dollarin tappion torstaina, mikä merkitsi jälleen yhtä tapausta sarjassa, jossa pahantahtoiset toimijat tutkivat järjestelmän haavoittuvuuksia.
Kyberhyökkäykset jatkuvat kryptovaluutta-alalla, korostaen tarvetta parantaa turvallisuutta.
3,8 miljoonan dollarin hakkerointi kohdistui Onyx Protokollaan
Blockchain-turvallisuusyritys PeckShield korosti epäilyttäviä transaktioita OnyxDAO:ssa, kiinnittäen huomiota mahdolliseen hyökkäykseen protokollaa vastaan. Jatkopostauksessa ketjututkija paljasti tappiot, jotka nousivat 3,8 miljoonaan dollariin, osoittaen, että hakkeri oli jo vaihtamassa varoja.
Web3-turvallisuusyritys Cyvers vahvisti tapauksen, viitaten epäilyttäviin transaktioihin, jotka liittyivät OnyxDAO:hon Ethereum-lohkoketjussa. Cyversin mukaan suurin osa tappioista oli VUSD-stabiilikolikossa.
“Järjestelmämme on havainnut epäilyttävän transaktion, joka liittyy OnyxDAO:hon ETH-ketjussa! Kokonaistappio on noin 3,2 miljoonaa dollaria [tuolloin]. Suurin osa tappioista on VUSD:ssä. Hyökkääjä pitää tällä hetkellä hallussaan 521 ETH (1,36 miljoonaa dollaria). Loput digitaaliset varat eivät ole vielä vaihdettu,” Cyvers kirjoitti.
Lue lisää: Kryptovaluuttaprojektin turvallisuus: Opas varhaiseen uhkien havaitsemiseen
Lisätutkimukset PeckShieldiltä paljastivat, että hyökkääjä hyödynsi tunnettua tarkkuusongelmaa, joka esitettiin buginä haarukoidussa Compound V2 -koodikannassa. Sen jälkeen he siirsivät 4,1 miljoonaa VUSD, 7,35 miljoonaa XCN, 5 000 DAI, 0,23 WBTC ja 50 000 USDT. Raportoidusti bugi hyödynsi lähes tyhjää markkinaa vaihtokurssin manipuloimiseksi.
Erityisesti hakkerit käyttivät samaa lähestymistapaa lokakuussa 2023, hakkeroiden samaa protokollaa 2,1 miljoonan dollarin edestä. Lokakuun tapauksessa haavoittuvuus oli pyöristysvirhe. Tuolloin tutkijat totesivat haavoittuvuuden johtuvan siitä, että Onyx Protocol oli Compound Financen haarukka.
Miten koodin haavoittuvuus ilmenee
Monet DeFi-protokollat ovat avoimen lähdekoodin, ja kehittäjät pyrkivät välttämään pitkää lähestymistapaa. He päättävät rakentaa olemassa olevan koodin pohjalta sen sijaan, että toteuttaisivat toiminnallisuuden alusta.
Tämä lähestymistapa on suosittu, koska se voi parantaa tehokkuutta ja turvallisuutta, kun se tehdään oikein. Haittapuolena on, että jos mallikoodi ei ole turvallinen, haarukka voi periä haavoittuvuudet.
“Onyx-protokollan tapauksessa käytetty Compound Finance -koodi sisälsi tunnetun haavoittuvuuden, joka oli jo hyödynnetty Hundred Finance – ja Midas Capital -protokollissa, jotka myös haarukoivat Compound Finance -koodia. Kuitenkin Onyx Protocol käytti samaa koodia eikä sillä ollut yhteisön tukea ja valppautta, jota tarvittiin estämään haavoittuvuuden hyväksikäyttö,” turvallisuusyritys Halborn raportoi.
Tämä tarkoittaa, että Onyx Protocolin hakkerointi olisi voitu estää, ottaen huomioon pyöristysvirheiden yleisyyden. Huomionarvoisesti ohjeistus on jo olemassa uusien markkinoiden käynnistämiseen Compound Finance:ssa ja sen haarukoissa.
“Hexagatessa suosittelemme, että kaikki Compound V2:n haarukat, kun ne käynnistävät uusia markkinoita, minttaavat joitakin cTokeneja ja polttavat ne varmistaakseen, että kokonaistarjonta ei koskaan laske nollaan. Kun kokonaistarjonta laskee nollaan, protokolla muuttuu haavoittuvaksi ja tämä strategia lieventää tätä tilannetta,” turvallisuusyritys Hexgate ohjeisti huhtikuussa 2023.
Lue lisää: Mikä on Compound Finance?
Nämä tapaukset, mukaan lukien 4,6 miljoonan dollarin hyökkäys hajautettuun infrastruktuuriin Truflation keskiviikkona, heijastavat yleistä haastetta kryptovaluutta-alalla, jossa pahantahtoiset toimijat käyttävät erilaisia mekanismeja digitaalisten varojen varastamiseen.
Trusted
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
