Giao thức cho vay Tài Chính Phi Tập Trung OnyxProtocol đã trở thành một trong những mục tiêu mới nhất của những kẻ lừa đảo tiền điện tử. Trong một bài đăng gần đây trên nền tảng X (trước đây là Twitter), công cụ theo dõi mối đe dọa bảo mật blockchain nổi tiếng SlowMist đã tiết lộ rằng OnyxProtocol đã mất hơn 2,1 triệu USD sau khi bị khai thác.
Theo nhóm SlowMist, hacker đã khai thác lỗ hổng với cách thức tương tự trong vụ hack Hundred Finance xảy ra vào đầu năm nay. Cụ thể, những kẻ lừa đảo đã vay nhiều tiền hơn dự kiến bằng cách thao túng lãi suất.
🚨SlowMist Security Alert🚨
DeFi lending protocol @OnyxProtocol has been exploited and has currently lost ~$2.1 million.
The exploiter’s method was the same as the previous attack on Hundred Finance, which was borrowing more funds than expected by manipulating interest rates.…
— SlowMist (@SlowMist_Team) November 1, 2023
Hơn nữa, SlowMist tiết lộ rằng hacker đã chuyển số tiền bị đánh cắp sang máy trộn tiền điện tử Tornado Cash để che giấu dấu vết của tài sản tiền điện tử. Trong khi đó, trong một cuộc trò chuyện liên quan, PeckShield, một công cụ theo dõi bảo mật blockchain khác, đã bổ sung thêm bối cảnh cho vụ hack OnyxProtocol.
The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.
Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E
— PeckShield Inc. (@peckshield) November 1, 2023
PeckShield lưu ý rằng giao dịch của kẻ lừa đảo khai thác thị trường oPEPE đã được triển khai cách đây 5 ngày và không có thanh khoản. Do đó, thị trường trống đã bị thao túng bằng cách quyên góp cho nó, về cơ bản là một khoản vay nhanh (flash loan), cho phép kẻ tấn công vay tiền từ các thị trường khác có tính thanh khoản. Sau đó, kẻ tấn công đã khai thác lỗi làm tròn để lấy lại số tiền quyên góp.
Tương tự, PeckShield thừa nhận rằng vụ tấn công lần này giống hệt với vụ hack được quan sát trong Hundred Finance, trong đó hơn bảy triệu đô la đã bị mất. Theo một bài đăng trên blog vào tháng 4 của hacker Rob Behnke, Hundred Finance ban đầu thiết lập các hợp đồng WTC hTokens bằng cách tạo hai hợp đồng tương tự, một hợp đồng đang hoạt động và một hợp đồng trống.
#PeckShieldAlert Onyx Protocol Exploiter has laundered 100 $ETH to #TornadoCash pic.twitter.com/jFB4fwmCv3
— PeckShieldAlert (@PeckShieldAlert) November 1, 2023
Do đó, những kẻ tấn công đã lạm dụng tỷ giá hối đoái giữa WTC và hWTC bằng cách quyên góp cho hợp đồng trống, làm cạn kiệt giá trị của nó, đồng thời lợi dụng lỗi làm tròn trong chức năng quy đổi của hợp đồng. “Vụ hack này nêu bật những rủi ro của việc sao chép mã từ bên thứ ba,” Behnke nhận xét về việc khai thác Hundred Finance.
Flash loan là hình thức “vay nóng” phổ biến, cho phép người dùng vay một lượng lớn tiền mà không cần thế chấp tài sản, với điều kiện là phải hoàn trả khoản vay trong cùng block giao dịch.
Theo PeckShield thống kê, đã có 386 vụ tấn công DeFi trong 6 tháng đầu năm 2023, với tổng giá trị tổn thất 479 triệu USD. Trong đó, 71% vụ tấn công là thực hiện qua hình thức flash loan, với Euler Finance là “nhân chứng” sống trong trường hợp này, kế đến là Platypus, 0VIX và Allbridge…
