Onyx 協議再次因匯率漏洞被黑客攻擊，損失 380 萬美元

Onyx 借貸平臺已被利用 380 萬美元。安全審計中心 Hacken 分析了平臺上的異常活動並估計了攻擊的性質。

Onyx Protocol 受到漏洞利用的影響，損失 380 萬美元。該攻擊是通過自定義生成的惡意trac實現的，該合約在調用 Onyx 前幾分鐘部署。黑客成功耗盡了該協議的原生穩定幣虛擬美元（VUSD）。這是自 2023 年 11 月 3 日以來 Onyx 遭受的第二次黑客攻擊，當時該項目的TVL也崩潰了。該漏洞導致了更多的社交媒體攻擊，其中有虛假鏈接聲稱可以保護資產。最好的方法是隻與 Onyx Protocol 的官方社交媒體互動。

Onyx宣佈VUSD本身不受影響，將繼續運行。然而，儘管有額外的抵押品，但該漏洞最終還是破壞了穩定幣的掛鉤。 VUSD 跌至 0.39 美元的低點，並沒有立即恢復到 1 美元的名義水平。

雖然黑客最終提取的金額很小，但該協議的損失可能會更大。 VUSD 代幣的名義流通供應量超過5100 萬美元，但其當前市值爲 1900 萬美元。

Onyx 面臨對其匯率的精確利用

Onyx 漏洞的原因之一是低流動性礦池的可用性。 Hacken 的分析估計，該漏洞是由於匯率計算錯誤造成的，當時某些貨幣對的流動性較低。黑客準備了一份智能trac，將 WETH 兌換成 Onyx ETH (oETH)。

黑客從 Balancer 獲得 2,000 WETH 貸款開始，轉移了多種加密資產。與此同時，惡意trac向 Onyx 發送一系列低價值 ETH 交易。掉期和資金池轉賬的結果讓黑客淨賺了 380 萬 VUSD，名義價值爲 380 萬美元。

最終交易成功提取了 300K VUSD，並使用 CoW 協議分拆交易將其兌換爲 ETH。這些交易造成了一些滑點，VUSD 價格低於 1 美元名義價格，因此其中一筆傳出交易的金額爲191K 美元。

Onyx 的其他資產也受到影響

針對 Onyx 礦池的一系列攻擊影響了多項資產。 Peckshielddent轉賬金額爲 410 萬 VUSD、735 萬 Onyxcoin (XCN)、5k DAI、0.23 WBTC、50k USDT。所有轉賬都發生在一筆交易中，由惡意智能trac執行。

Onyx 是一個Compound V2 硬分叉，帶有該協議的所有缺陷。 Onyx 本身之前也曾以類似的方式遭到黑客攻擊，利用非流動性貨幣對的價值計算和匯率。

Sonne 協議在 5 月份被利用，同樣是由於Compound V2 的已知缺陷，該缺陷影響了所有分叉項目並且尚未得到修復。每當協議啓動新的、沒有資金支持的市場時，就會發現該缺陷。在動態DeFi領域引入新貨幣對使問題更加嚴重，並導致了多次黑客攻擊。

由於計算錯誤，黑客可以調用該協議的智能trac，並以微不足道的抵押品換取更多的貸款。

當前的 Onyx 攻擊與 Sonne 協議黑客攻擊具有類似的結構，同樣以最少的抵押品提取大量代幣。一長串的 56 筆垃圾郵件交易削弱了 Onyx 匯率，再次允許黑客提取所有資金以換取少量抵押品。

到目前爲止，還沒有 NFT 受到影響。 Onyx Protocol 託管 Bored Ape (BAYC) 和 Mutated Ape (MAYC) NFT，年化被動收入高達 37%。 PeckShield 還檢測到該項目的NFT 合約存在缺陷，但這並未導致額外的漏洞利用。

此次攻擊可能是流氓員工所爲

即使與個人錢包攻擊相比，Onyx 協議攻擊也相對較小。對VUSD和其他資產價值的影響可能更大。但這次攻擊可能暴露了加密項目的另一個嚴重威脅——流氓員工。

Onyx 協議漏洞可能是由朝鮮黑客冒充項目開發人員造成的。研究人員聲稱他們已經聯繫了 Onyx 團隊，並提供了與 DRPK 黑客有聯繫的潛在證據。

另一方面，Compound V2 漏洞是衆所周知的，可能不需要內部知識即可利用。

克里斯蒂娜·瓦西列娃 (Hristina Vasieva) 的《密碼城》報道