Лендингова DeFi-платформа Onyx Protocol втратила приблизно $2,1 млн унаслідок злому неліквідного ринку, розгорнутого 27 жовтня.
#PeckShieldAlert @OnyxProtocol has been exploited for ~2.1M pic.twitter.com/5Z50tCg6MD
— PeckShieldAlert (@PeckShieldAlert) November 1, 2023
Експерти PeckShield, ймовірно, звернули увагу на інцидент, коли команда протоколу про нього ще не знала.
Згідно з фахівцями компанії, зловмисники скористалися відомою проблемою округлення в популярному форку Compound v2, що лежить в основі архітектури Onyx.
Цей баг невідомі використовували у квітні для злому Hundred Finance на суму приблизно в $7 млн.
Фахівці PeckShield пояснили механізм атаки на Onyx:
“По суті, ринок oPEPE, який зазнав злому, було розгорнуто п’ять днів тому без будь-якої ліквідності. Пул наповнили запозиченими коштами, які потім були погашені шляхом використання проблеми округлення”.
The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.
Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E
— PeckShield Inc. (@peckshield) November 1, 2023
Зловмисники скористалися миттєвими позиками для залучення ресурсів на атаку і маніпулювання обмінними курсами, уточнив представник BlockSec у коментарі для The Block.
Ончейн-дані показують, що 750 ETH (~$1,25 млн) хакери вже відправили в сервіс мікшування Tornado Cash. Останній ще в серпні 2022 року потрапив під санкції США.
“Кейс Tornado Cash здасться квіточками”: експерти дали прогноз для біткоїн-міксерів
Нагадаємо, збиток криптоіндустрії від зломів і шахрайств у жовтні знизився до $51,6 млн. Це на 85,6% менше, ніж місяцем раніше, згідно з даними Beosin.
