DeFi-Protokoll Onyx von einem Exploit in Höhe von 3,2 Millionen US-Dollar betroffen, markiert den zweiten Angriff innerhalb eines Jahres

Onyx, ein Fork des DeFi-Lending-Protokolls Compound Finance, wurde am Donnerstag mit 3,2 Millionen Dollar getroffen, was das zweite Mal markiert, dass der Smart Contract des Protokolls im vergangenen Jahr ausgenutzt wurde. 

Laut der Sicherheitsfirma Fuzzland wurde um 11:57 Uhr ein bösartiger Vertrag bei Onyx bereitgestellt, etwa fünf Minuten bevor der Angriff stattfand. Rivalisierende Sicherheitsfirmen PeckShield und Cyvers bemerkten ebenfalls verdächtige Transaktionen auf OnyxDAO, vor dem Hack. 

Cyvers stellte fest, dass die meisten Verluste in VUSD, einem in US-Dollar denominierten Stablecoin, auftraten. Der mutmaßliche Angreifer hält auch 521 ETH im Wert von etwa 1,36 Millionen Dollar und hat laut Cyvers gezögert, die gestohlenen Vermögenswerte zu tauschen. 

Laut PeckShield, das den Verlust näher bei 3,8 Millionen Dollar ansetzt, griff der Angreifer einen bekannten Fehler im geforkten Compound V2-Code an und konnte VUSD, DAI und Tether-Stablecoins sowie andere Kryptowährungen abziehen. 

„Ein weiteres Problem, das den Hack erleichtert, steht im Zusammenhang mit dem NFTLiquidation-Vertrag, der die (unzuverlässige) Benutzereingabe nicht ordnungsgemäß validiert und ausgenutzt wurde, um die Selbstliquidationsprämie zu erhöhen“, schrieb Peckshield auf X.

Im letzten Oktober erlitt Onyx einen Angriff in Höhe von 2,1 Millionen Dollar, der eine Integer-Rundungsanfälligkeit und einen Flash-Loan-Angriff ausnutzte. 

"Im letzten Jahr war es aufgrund einer Schwachstelle, die eingeführt wurde, als sie kompromittierten Compound-Code forkteten. Dieses Mal haben sie selbst eine Schwachstelle durch Fehler in ihrer Logik eingeführt", sagte Fuzzland-Gründer Chaofan Shou in einer Nachricht an The Block.