Onyx Exploit: -
1. listopadu 2023 odčerpal útočník 2,1 milionu dolarů z Onyxu, protokolu DeFi, prostřednictvím chyby zabezpečení zaokrouhlování celých čísel a bleskové půjčky.
Co je chyba zabezpečení týkající se zaokrouhlování celých čísel?
Chyba zabezpečení týkající se zaokrouhlování celých čísel je typ softwarové chyby, ke které může dojít, když počítačový program zaokrouhluje číslo z jednoho datového typu na druhý. Pokud například program zaokrouhlí číslo s plovoucí desetinnou čárkou na celé číslo, může ztratit určitou přesnost. To může vést k neočekávaným výsledkům, například že útočník bude moci vybrat více prostředků, než na jaké má nárok.
Co je to blesková půjčka?
Blesková půjčka je typ půjčky, kterou lze čerpat a splácet v rámci jednoho bloku. To znamená, že věřiteli nehrozí žádné riziko, protože dlužník musí půjčku splatit před dokončením blokace. Flash půjčky lze použít k provádění komplexních arbitrážních a obchodních strategií.
Jak útočník využil Onyx?
Útočník zneužil Onyx pomocí chyby zabezpečení pro zaokrouhlování celého čísla v inteligentních smlouvách protokolu. Útočník si nejprve vzal bleskovou půjčku, aby si půjčil velké množství kryptoměny. Poté použili tuto kryptoměnu k nákupu malého množství tokenů Onyx. Útočník poté prodal tokeny Onyx zpět protokolu, ale protokol zaokrouhlil cenu dolů ve prospěch útočníka. To umožnilo útočníkovi vybrat z protokolu více prostředků, než vložili.
Co mohou protokoly DeFi udělat, aby se chránily před tímto typem zneužití?
Protokoly DeFi se mohou před tímto typem zneužití chránit pečlivým auditem jejich inteligentních smluv, zda neobsahují zranitelnosti zaokrouhlování celých čísel. Mohou také používat knihovny SafeMath, které pomáhají předcházet chybám při zaokrouhlování celých čísel. Protokoly DeFi by si navíc měly dávat pozor na to, jak implementují flash půjčky. Měli by například zvážit omezení množství kryptoměny, kterou si lze půjčit prostřednictvím bleskových půjček.
Jedinečné poznatky
Zde je několik jedinečných pohledů na exploit Onyx:
Útočník použil kombinaci chyby zabezpečení zaokrouhlování celých čísel a flash půjčky ke zneužití Onyx. Jedná se o nový a sofistikovaný typ exploitu, který dosud nebyl viděn.
Útočníkovi se podařilo odčerpat z Onyxu 2,1 milionu dolarů v jediné transakci. To ukazuje, že útočníci jsou schopni ukrást velké množství peněz z protokolů DeFi.
Využití Onyx je připomínkou toho, že DeFi je stále nová a riskantní technologie. Protokoly DeFi musí podniknout kroky k ochraně před tímto typem zneužití.
Závěr
Zneužití Onyx je vážný bezpečnostní incident, který upozorňuje na rizika spojená s DeFi. Protokoly DeFi musí podniknout kroky, aby se ochránily před chybami zabezpečení zaokrouhlování celých čísel a dalšími typy zneužití.
Kromě výše uvedeného jsou zde některé další myšlenky týkající se exploitu Onyx:
Útočníkovi se podařilo tuto chybu zabezpečení zneužít, protože nebyla řádně auditována. Toto je připomínka důležitosti auditů pro protokoly DeFi.
Exploatace byla provedena pomocí flash půjčky, což je relativně nový finanční nástroj. To ukazuje, že útočníci jsou stále sofistikovanější a používají nové nástroje ke zneužití protokolů DeFi.
Tento exploit odčerpal z Onyxu značné množství peněz, což by mohlo mít negativní dopad na pověst protokolu a důvěru uživatelů.
Protokoly DeFi si musí být vědomy souvisejících rizik a podniknout kroky k ochraně před zneužitím. To zahrnuje audit chytrých kontraktů, omezení množství kryptoměny, které si lze půjčit prostřednictvím flash půjček, a implementaci dalších bezpečnostních opatření.
