據區塊鏈安全平臺 Peck Shield 的報告,9 月 26 日,去中心化金融 (DeFi) 協議 Onyx 被利用,損失 380 萬美元。該漏洞利用了 Compound Finance v2 代碼庫中的一個已知漏洞,而該漏洞早在 11 月 1 日就曾被用來利用 Onyx。報告稱,NFT 清算合約中的一個漏洞也導致了該漏洞的發生。
在 9 月 27 日的 X 帖子中,Onyx 團隊聲稱有缺陷的 NFT 合約是此次漏洞的根本原因。
根據 Peck Shield 報告,410 萬虛擬美元 (VUSD)、735 萬 Onyxcoin (XCN)、0.23 Wrapped Bitcoin (WBTC)、價值 5,000 美元的 Dai (DAI) 穩定幣和價值 50,000 美元的 Tether (USDT) 穩定從協議,損失總計超過380 萬美元。
資料來源:派克盾。
已知的漏洞存在於複合金融的第 2 版中,這是一個經常被去中心化金融協議分叉和使用的程式碼庫。它導致了 2023 年 4 月針對 Hundred Finance 的攻擊。
此缺陷只有在存在「空市場」或沒有流動性的市場時才能被利用,這種情況通常只有在新市場推出時纔會發生。
Onyx 團隊在 X 貼文中承認了該漏洞。 「Onyx 協定遭受了一次安全事件,一名不法分子利用該協定從協定中耗盡了 VUSD,」它表示。然而,它聲稱已知的缺陷並不是其主要原因。 「主要問題不是空市場,而是 NFT 清算合約,」它在一條帖子中表示。
Peck Shield 同意 NFT 合約是「另一個促進駭客攻擊的問題」。有缺陷的合約允許攻擊者“誇大自我清算獎勵金額”,因爲它沒有“正確驗證(不受信任的)用戶輸入”。
Onyx NFT 合約漏洞。資料來源:派克盾。
DeFi 漏洞是 Web3 用戶損失的常見來源。 9 月 27 日,流動質押協議 Bedrock 由於其 uniBTC 合約存在漏洞,損失超過 200 萬美元。 9 月 23 日,攻擊者利用錯誤的「buyFor」功能進行多次自我轉賬,誇大利潤,導致 Bankroll Network 損失了 23 萬美元。
