Protocolo Onyx é explorado novamente em US$ 3,8 milhões devido a um bug conhecido

O protocolo de finanças descentralizadas (DeFi) Onyx foi explorado em US$ 3,8 milhões em 26 de setembro, de acordo com um relatório da plataforma de segurança blockchain PeckShield. A exploração utilizou um bug conhecido na base de código do Compound Finance v2 — um que já havia sido usado para explorar o Onyx anteriormente em 1º de novembro. Uma vulnerabilidade no contrato de liquidação de tokens não fungíveis (NFT) também contribuiu para a exploração, afirmou o relatório.

Em um post no X em 27 de setembro, a equipe do Onyx alegou que o contrato defeituoso de NFT foi a causa raiz da exploração.

De acordo com o relatório da PeckShield, 4,1 milhões de dólares virtuais (VUSD), 7,35 milhões de Onyxcoin (XCN), 0,23 Bitcoin embrulhado (WBTC), US$ 5.000 em Dai (DAI) e US$ 50.000 em USDt (USDT) foram drenados do protocolo, totalizando mais de US$ 3,8 milhões em perdas.

A vulnerabilidade conhecida existe na versão 2 do Compound Finance, que é uma base de código frequentemente bifurcada e utilizada por protocolos de finanças descentralizadas. Ela levou a uma exploração contra o Hundred Finance em abril de 2023. Em outubro de 2023, a vulnerabilidade foi utilizada contra o Onyx pela primeira vez.

A falha só pode ser explorada quando existe um "mercado vazio", ou seja, um mercado sem liquidez, o que geralmente ocorre apenas quando um novo mercado é lançado.

A equipe do Onyx reconheceu a exploração em um post no X. "O protocolo Onyx foi alvo de um incidente de segurança onde um ator malicioso explorou o protocolo para drenar VUSD," afirmou. No entanto, alegou que a falha conhecida não foi sua principal causa. "A questão principal não foi um mercado vazio, mas o contrato de liquidação de NFTs," afirmou em uma thread.

A PeckShield concordou que o contrato de NFT foi "[outro problema que facilita o hack]." O contrato defeituoso permitiu que o atacante "inflasse o valor da recompensa por auto-liquidação" porque não "validava corretamente a entrada de usuário (não confiável)."

*Vulnerabilidade do contrato NFT Onyx. Fonte: PeckShield*

Explorações em DeFi são uma fonte comum de perdas para usuários da Web3. Em 27 de setembro, o protocolo de staking líquido Bedrock perdeu mais de US$ 2 milhões devido a uma vulnerabilidade em seu contrato uniBTC. Em 23 de setembro, a Bankroll Network teve US$ 230.000 drenados quando um invasor fez múltiplas auto-transferências, explorando uma função "buyFor" defeituosa para inflar seus lucros.