Onyx 协议再次因汇率漏洞被黑客攻击，损失 380 万美元

Onyx 借贷平台已被利用 380 万美元。安全审计中心 Hacken 分析了平台上的异常活动并估计了攻击的性质。

Onyx Protocol 受到漏洞利用的影响，损失 380 万美元。该攻击是通过自定义生成的恶意trac实现的，该合约在调用 Onyx 前几分钟部署。黑客成功耗尽了该协议的原生稳定币虚拟美元（VUSD）。这是自 2023 年 11 月 3 日以来 Onyx 遭受的第二次黑客攻击，当时该项目的TVL也崩溃了。该漏洞导致了更多的社交媒体攻击，其中有虚假链接声称可以保护资产。最好的方法是只与 Onyx Protocol 的官方社交媒体互动。

Onyx宣布VUSD本身不受影响，将继续运行。然而，尽管有额外的抵押品，但该漏洞最终还是破坏了稳定币的挂钩。 VUSD 跌至 0.39 美元的低点，并没有立即恢复到 1 美元的名义水平。

虽然黑客最终提取的金额很小，但该协议的损失可能会更大。 VUSD 代币的名义流通供应量超过5100 万美元，但其当前市值为 1900 万美元。

Onyx 面临对其汇率的精确利用

Onyx 漏洞的原因之一是低流动性矿池的可用性。 Hacken 的分析估计，该漏洞是由于汇率计算错误造成的，当时某些货币对的流动性较低。黑客准备了一份智能trac，将 WETH 兑换成 Onyx ETH (oETH)。

黑客从 Balancer 获得 2,000 WETH 贷款开始，转移了多种加密资产。与此同时，恶意trac向 Onyx 发送一系列低价值 ETH 交易。掉期和资金池转账的结果让黑客净赚了 380 万 VUSD，名义价值为 380 万美元。

最终交易成功提取了 300K VUSD，并使用 CoW 协议分拆交易将其兑换为 ETH。这些交易造成了一些滑点，VUSD 价格低于 1 美元名义价格，因此其中一笔传出交易的金额为191K 美元。

Onyx 的其他资产也受到影响

针对 Onyx 矿池的一系列攻击影响了多项资产。 Peckshielddent转账金额为 410 万 VUSD、735 万 Onyxcoin (XCN)、5k DAI、0.23 WBTC、50k USDT。所有转账都发生在一笔交易中，由恶意智能trac执行。

Onyx 是一个Compound V2 硬分叉，带有该协议的所有缺陷。 Onyx 本身之前也曾以类似的方式遭到黑客攻击，利用非流动性货币对的价值计算和汇率。

Sonne 协议在 5 月份被利用，同样是由于Compound V2 的已知缺陷，该缺陷影响了所有分叉项目并且尚未得到修复。每当协议启动新的、没有资金支持的市场时，就会发现该缺陷。在动态DeFi领域引入新货币对使问题更加严重，并导致了多次黑客攻击。

由于计算错误，黑客可以调用该协议的智能trac，并以微不足道的抵押品换取更多的贷款。

当前的 Onyx 攻击与 Sonne 协议黑客攻击具有类似的结构，同样以最少的抵押品提取大量代币。一长串的 56 笔垃圾邮件交易削弱了 Onyx 汇率，再次允许黑客提取所有资金以换取少量抵押品。

到目前为止，还没有 NFT 受到影响。 Onyx Protocol 托管 Bored Ape (BAYC) 和 Mutated Ape (MAYC) NFT，年化被动收入高达 37%。 PeckShield 还检测到该项目的NFT 合约存在缺陷，但这并未导致额外的漏洞利用。

此次攻击可能是流氓员工所为

即使与个人钱包攻击相比，Onyx 协议攻击也相对较小。对VUSD和其他资产价值的影响可能更大。但这次攻击可能暴露了加密项目的另一个严重威胁——流氓员工。

Onyx 协议漏洞可能是由朝鲜黑客冒充项目开发人员造成的。研究人员声称他们已经联系了 Onyx 团队，并提供了与 DRPK 黑客有联系的潜在证据。

另一方面，Compound V2 漏洞是众所周知的，可能不需要内部知识即可利用。

克里斯蒂娜·瓦西列娃 (Hristina Vasieva) 的《密码城》报道