Onyx Protocol漏洞遭黑客攻擊,穩定幣VUSD脫錨下跌70%

2024-09-28 00:09:14

@OdailyChina

@vincent 31515173

昨日,借貸平臺 Onyx Protocol 被黑客利用漏洞攻擊,損失價值超 380 萬美元,被盜資金包括 1300 萬枚 VUSD、 735 萬枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 萬枚 USDT。

CoinGecko 數據顯示 ,VUSD 立即脫錨,最低跌至 0.2757 美元, 24H 跌幅達 72.43% ;截至發文,VUSD 依舊處於脫錨狀態,但已回升至 0.7228 美 元,24H 跌幅收窄至 28.3% 。

Onyx Protocol 為了應對本次被盜事件,發布提案 OIP-46 ,建議重新啓動 Onyx 的开源許可金融網絡 Onyx Core,作為主要產品,與 XCN Staking 一起確保 Onyx Core 的治理和 Onyx Staker 的獎勵。

根據該提案,Onyx Protocol 將在 Onyx Core 上以封閉式借貸協議運行,允許用戶將 NFT 和真實資產(RWA)包裝並借貸,同時支持來自多個鏈的加密資產。此舉將關閉基於以太坊的借貸市場,並全額補償所有受影響用戶,按照 1:1 的比例支付其提供的資產。

事件回顧

9 月 26 日 20: 48 ,安全公司 Cyvers 平臺 在 X 上發文,經其系統檢測到涉及 Onyx 可疑交易,損失或已達 320 萬美元。

同日 21: 55 ,安全公司 PeckShield 在 x 平臺發文稱,抽走資金包括 410 萬枚 VUSD、 735 萬枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 萬枚 USDT。

VUSD 官方隨後發布公告稱:“ 遭遇安全漏洞,導致超過 1300 萬美元的 VUSD 被盜。 黑客隨後將盜取的 VUSD 出售至流動性池,導致二級市場流動性損失約 150 萬美元。事件發生後,智能合約已被暫停,以便進行適當溝通,目前確認 VUSD 代碼庫及儲備沒有漏洞。惡意行為者將根據服務條款被列入黑名單,待調查結束後,VUSD 智能合約服務將恢復,參與者可繼續套利。

官方稱,VUSD 仍由超額抵押的資產全額支持,機構用戶可按市場價格贖回和鑄造 VUSD。VUSD 正在與 Onyx DAO 及相關當局合作識別攻擊者,並計劃在未來探索零售贖回所需的許可證。

Onyx Protocol 被盜原因是什么?

安全公司 PeckShield 表示, 促成黑客攻擊的問題與 NFT 清算合約有關,該合約未能正確驗證(不可信的)用戶輸入,導致自我清算獎勵金額被人為擴大。

Onyx Protocol 引用 PeckShield 關於“黑客利用 NFTLiquidation 合約漏洞攻擊”的推文表示,黑客 利用該協議從中抽走了 VUSD, 此次漏洞可以從 NFT 清算合約中的一個安全隱患中識別和理解。 主要問題並非 Empty market,而是 NFT Liquidation 合約, XCN 質押和 XCN Farming 未受影響。

知名安全公司 CertiK 告訴Odaily星球日報:“Onyx Protocol 的清算合約沒有校驗用戶傳入的 oTokenCollateral 和 oTokenRepay 地址。簡單來說,攻擊者通過自己部署的惡意合約欺騙 Onyx 協議他已經歸還了欠款,從而在不歸還欠款的情況下取回了所有抵押品”。

PeckShield 還提到,Onyx 被盜原因可能是分叉 Compound V2 代碼庫中已知精度問題,該漏洞已被攻擊者利用。 CertiK 也表示,Compound V2 的精度損失問題導致的"Empty Market Vulnerability"確是一個已經被多次攻擊的已知問題,去年的 Hundred Finance 以及今年 5 月份的 Sonne Finance 都因為精度損失遭到攻擊。

Odaily星球日報調查發現,去年 11 月,Onyx 同樣受到黑客攻擊,被攻擊的原因同樣是黑客利用 Compound V2 分叉版本背後的已知舍入問題。但當時 Onyx 社區負責人 Alex 表示,漏洞得到修復,正與合作夥伴一起處理後續。

據悉,Onyx Protocol 是以太坊生態的鏈上借貸平臺,旨在提供代幣和 NFT 的借貸市場,其中關於代幣部分可能在开發過程中引用了 Compound V2 的代碼,算是 Compound V2 分叉。但當時的 Compound V2 的代碼存在精度問題,後續 Compound 自身已經修改相關問題,但在這之前分叉的項目卻無法避免相關問題。

關於 Onyx Protocol 被盜後續進展,Odaily星球日報將持續關注。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

比特幣跌破9.5萬、以太坊失守3300美元,本週聖誕節市場避險情緒濃厚

比 特幣週六最高從 92,268 美元反彈到 9.95 萬美元之後,又開始一波震盪下跌,撰稿當下最...

Joe
4 4小時前

加密貨幣交易中的心理關口:恐懼與貪婪如何影響市場?

在加密貨幣市場中,交易心態對行為有著深遠的影響,這大大影響著價格波動和交易決策。本文源自 Abdu...

白話區塊鏈
2 4小時前

為慶祝聖誕,Elfbird精靈鳥推出限量版聖誕鳥

在衆多加密貨幣大幅下跌之際,Elfbird 精靈鳥以其優異玩法設計和豐厚收益仍然吸引了許多玩家參與...

星球日報
3 4小時前

Web3.0安全开發實踐:探索比特幣DeFi生態中的PSBT

近年來,部分籤名比特幣交易(PSBT)在比特幣生態系統中獲得了顯著關注。隨着如Ordinal和基於...

CertiK
3 4小時前

24H熱門幣種與要聞 | Michael Saylor發布數字資產框架提案;Azuki疑似即將發幣(12.23)

24 H 熱門幣種 1、CEX 熱門幣種 CEX 成交額 Top 10 及 24 小時漲跌幅: B...

星球日報
3 4小時前

從銘文賽道看AI Agent敘事:有哪些潛在發展演變邏輯和投資機會?

原文作者:Haotian 可能大家都感覺這一輪 AI Agent 敘事推進像極了 23 年以來的銘...

星球日報
3 4小時前