Giao thức DeFi Onyx bị tấn công với số tiền 3,2 triệu đô la, đánh dấu cuộc tấn công thứ hai trong vòng một năm

Onyx, một nhánh của giao thức cho vay DeFi Compound Finance, đã bị tấn công với số tiền 3,2 triệu đô la vào thứ Năm, đánh dấu lần thứ hai hợp đồng thông minh của giao thức này bị khai thác trong năm qua. 

Theo công ty bảo mật Fuzzland, một hợp đồng độc hại đã được triển khai lên Onyx vào lúc 11:57 sáng, khoảng năm phút trước khi cuộc tấn công xảy ra. Các công ty bảo mật đối thủ PeckShield và Cyvers cũng đã nhận thấy các giao dịch đáng ngờ trên OnyxDAO, trước khi vụ hack xảy ra. 

Cyvers lưu ý rằng phần lớn thiệt hại là ở VUSD, một stablecoin được định giá bằng đô la Mỹ. Kẻ tấn công bị nghi ngờ cũng nắm giữ 521 ETH trị giá khoảng 1,36 triệu đô la và, theo Cyvers, đã do dự trong việc hoán đổi các tài sản bị đánh cắp. 

Theo PeckShield, người ước tính thiệt hại gần 3,8 triệu đô la, kẻ tấn công đã khai thác một lỗi đã biết trong mã nguồn Compound V2 được phân nhánh và có thể rút VUSD, DAI và các stablecoin tether, cùng với các loại tiền điện tử khác. 

“Một vấn đề khác tạo điều kiện cho vụ hack liên quan đến hợp đồng NFTLiquidation, không xác thực đúng đầu vào (không đáng tin cậy) của người dùng và đã bị khai thác để tăng số tiền thưởng tự thanh lý,” Peckshield viết trên X.

Tháng Mười năm ngoái, Onyx đã chịu một cuộc tấn công trị giá 2,1 triệu đô la khai thác một lỗ hổng làm tròn số nguyên và một cuộc tấn công vay nhanh. 

"Năm ngoái là do một lỗ hổng được giới thiệu khi họ phân nhánh mã Compound bị xâm phạm. Lần này họ tự giới thiệu một lỗ hổng thông qua lỗi trong logic của họ," người sáng lập Fuzzland Chaofan Shou nói với The Block trong một tin nhắn.