Onyx โปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) ถูกโจมตีสูญเสียไป 3.8 ล้านดอลลาร์เมื่อวันที่ 26 กันยายน ตามรายงานจากแพลตฟอร์มความปลอดภัยบล็อคเชน PeckShield โดยช่องโหว่นี้ใช้ bug ที่ทราบแล้วใน Compound Finance v2 codebase และเป็น bug ที่เคยถูกใช้เพื่อใช้โจมตี Onyx ก่อนหน้านี้เมื่อวันที่ 1 พฤศจิกายน โดยรายงานยังระบุด้วยว่าช่องโหว่ในสัญญา non-fungible token (NFT) liquidation ก็มีส่วนทำให้เกิดช่องโหว่นี้ด้วย
ในโพสต์ X เมื่อวันที่ 27 กันยายน ทีมงาน Onyx อ้างว่าสัญญา NFT ที่มีข้อบกพร่องคือสาเหตุของการโจมตี
ตามรายงานของ PeckShield มีเงิน 4.1 ล้าน VUSD, 7.35 ล้าน Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), 5,000 Dai และ USDt มูลค่า 50,000 ดอลลาร์ ถูกถอนออกจากโปรโตคอล ทำให้สูญเสียมูลค่ารวมกว่า 3.8 ล้านดอลลาร์
ช่องโหว่ที่ทราบนี้มีอยู่ใน Compound Finance เวอร์ชัน 2 ซึ่งเป็น codebase ที่มักถูก fork และใช้งานโดยโปรโตคอลการเงินแบบกระจายอำนาจ และส่งผลให้เกิดช่องโหว่กับ Hundred Finance ในเดือนเมษายน 2023 และในเดือนตุลาคม 2023 ช่องโหว่ดังกล่าวก็ถูกใช้กับ Onyx เป็นครั้งแรก
ทีมงาน Onyx ยอมรับถึงช่องโหว่นี้ในโพสต์ X โดยระบุว่า “Onyx Protocol ตกเป็นเป้าหมายของเหตุการณ์ด้านความปลอดภัยที่ผู้ไม่ประสงค์ดีใช้ประโยชน์จากโปรโตคอลเพื่อดูด VUSD ออกจากโปรโตคอล” ทีมงานระบุ อย่างไรก็ตาม ทีมงานอ้างว่า bug ที่ทราบนี้ไม่ใช่สาเหตุหลัก “ปัญหาหลักไม่ใช่ empty market แต่เป็นสัญญา NFTLiquidation” ทีมงานระบุในเธรด
Peck Shield เห็นด้วยว่าสัญญา NFT เป็น “ปัญหาอีกประการหนึ่งที่เอื้อต่อการแฮ็ก” สัญญาที่มีข้อบกพร่องทำให้ผู้โจมตีสามารถ “เพิ่มจำนวนเงินรางวัลสำหรับการชำระหนี้ให้ตนเอง” ได้ เนื่องจากไม่ได้มีการ “ตรวจสอบข้อมูลที่ผู้ใช้ (ไม่น่าเชื่อถือ) ป้อนเข้ามาอย่างถูกต้อง”
อ้างอิง : cointelegraph.com
ภาพ crypto-economy.com
