Vụ tấn công được thực hiện theo hình thức flash loan thông qua lỗ hổng trong cơ sở mã dữ liệu của Onyx Protocol, gây thiệt hại hơn 2,1 triệu USD.
Giao thức DeFi Onyx Protocol bị hacker rút cạn 2,1 triệu USD
Vào chiều tối ngày 01/11/2023, đơn vị bảo mật blockchain PeckShield đã báo cáo một vụ tấn công trên giao thức DeFi có tên Onyx Protocol, ước tính thiệt hại ban đầu hơn 2,1 triệu USD.
Báo cáo cho biết kẻ tấn công đã rút tiền bằng cách khai thác một lỗ hổng làm tròn số (rounding vulnerability) trong cơ sở mã dữ liệu của Onyx, gây thất thoát và ảnh hưởng về độ chính xác của dự án (precision loss). Lỗ hổng này bắt nguồn từ một phiên bản fork cũ hơn của Compound V2 mà đã được Onyx kết hợp vào kiến trúc cơ bản của mình.
The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.
— PeckShield Inc. (@peckshield) November 1, 2023
Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E
Cụ thể, kẻ tấn công đã thực hiện vay flash loan một lượng ETH đáng kể, swap nó thành PEPE rồi nạp tiền vào một pool cụ thể để thao túng tỷ giá giao dịch. Vì ảnh hưởng bởi độ chính xác (precision loss), hacker đã có thể rút nhiều tài sản hơn so với tỷ giá của pool.
Xem thêm: Coin lending là gì?
Ngay sau đó, kẻ tấn công Onyx Protocol đã nhanh chóng tẩu tán tổng số tiền đánh cắp hơn 1.164 ETH (tương đương khoảng 2,1 triệu USD) đến địa chỉ ví "0x4C9C8661243E9E9a15A35B8873317eb881330c98".
PeckShield cho rằng sự việc xảy ra với giao thức Onyx tương tự như vụ tấn công Hundred Finance gây thiệt hại 7,4 triệu USD vào tháng 04/2023, khiến dự án buộc phải đóng cửa và lên phương án bồi thường cho người dùng.
Chỉ hơn 1 tiếng sau, theo ghi nhận của PeckShield, toàn bộ số tiền đánh cắp đã được hacker rửa thông qua Tornado Cash - giao thức trộn lẫn giao dịch trên Ethereum có nhà đồng sáng lập là ông Roman Semanov đang bị Chính quyền Hoa Kỳ bắt giữ.
Update: Onyx Protocol Exploiter has laundered ~1,130 $ETH to #TornadoCash pic.twitter.com/lc8MRZ8Pzl
— PeckShieldAlert (@PeckShieldAlert) November 1, 2023
Hacker sau đó còn gửi tiền cho những địa chỉ đã gửi tin nhắn đến ví của mình để "ăn xin" tài sản.
The new way to make money: beg for the exploiter
— Scopescan (? . ?) (@0xScopescan) November 2, 2023
The #OnyxProtocol Exploiter sends ETH to people who beg for money on-chain.
Somebody sends the following message and the exploiter sends him 6.5 $ETH ($12.1K)
Guess this method finally works for an exploiter?
Address:… pic.twitter.com/B7PaBmhumO
Flash loan là hình thức “vay nóng” phổ biến, cho phép người dùng vay một lượng lớn tiền mà không cần thế chấp tài sản, với điều kiện là phải hoàn trả khoản vay trong cùng block giao dịch.
Theo PeckShield thống kê, đã có 386 vụ tấn công DeFi trong 6 tháng đầu năm 2023, với tổng giá trị tổn thất 479 triệu USD. Trong đó, 71% vụ tấn công là thực hiện qua hình thức flash loan, với Euler Finance là "nhân chứng" sống trong trường hợp này, kế đến là Platypus, 0VIX và Allbridge...
Có thể thấy, flash loan vẫn luôn là điểm yếu chí mạng gây tổn hại nặng nề cho mảng DeFi trong thời gian qua. Đây cũng chính là bài toán mà công ty kiểm toán và bảo mật blockchain Quantstamp muốn chung tay tháo gỡ thông qua sáng kiến mới.
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!
