Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

DeFi-протокол Onyx потерял $3,8 млн из-за старой уязвимости

01/10/24

1_p9i3-W317gYP2preIeh-yQ

26 сентября протокол децентрализованных финансов (DeFi) Onyx подвергся атаке, в результате которой злоумышленникам удалось похитить активы на сумму $3,8 миллиона. Информацию об инциденте опубликовала платформа по безопасности блокчейнов PeckShield. Основной причиной кибератаки стал известный баг в кодовой базе Compound Finance версии 2, который уже использовался ранее для эксплуатации уязвимостей Onyx в ноябре прошлого года, пишет Securitylab.

По данным отчета, уязвимость существовала в контракте ликвидации NFT, который также способствовал реализации атаки. Проблема заключалась в том, что контракт неправильно проверял ввод данных пользователей, что позволило злоумышленникам завысить вознаграждение за самоликвидацию активов.

Команда Onyx подтвердила факт использования этого уязвимого контракта и указала его как основной фактор, приведший к инциденту

По информации PeckShield, злоумышленники вывели 4,1 миллиона виртуальных USD (VUSD), 7,35 миллиона Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), около $5000 в стейблкоине Dai (DAI) и $50 000 в стейблкоине USDt (USDT). Общая сумма потерь составила более $3,8 миллиона.

Известная уязвимость в кодовой базе Compound Finance v2 неоднократно становилась причиной атак на различные децентрализованные финансовые протоколы. В апреле 2023 года из-за этого же бага пострадал протокол Hundred Finance, а в октябре 2023 года он был впервые использован против Onyx.

Эксплуатация уязвимости возможна только в условиях «пустого рынка», когда на рынке отсутствует ликвидность. Обычно это происходит при запуске нового рынка, что и сделало протокол Onyx уязвимым. Однако, как утверждает команда протокола, основной причиной инцидента стала ошибка в контракте ликвидации NFT.

PeckShield также поддержала эту версию, отметив, что проблемный контракт стал дополнительным фактором, способствующим атаке. Ошибка заключалась в недостаточной проверке данных, вводимых пользователями, что дало возможность злоумышленникам манипулировать размером вознаграждений за ликвидацию.

Темы:ПреступленияPeckShieldDeFi
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...