El protocolo DeFi Onyx sufre un exploit de $3.2 millones, marcando el segundo ataque en un año

Onyx, un fork del protocolo de préstamos DeFi Compound Finance, fue afectado con un ataque de $3.2 millones el jueves, marcando la segunda vez que el contrato inteligente del protocolo fue explotado en el último año. 

Según la firma de seguridad Fuzzland, un contrato malicioso fue desplegado en Onyx a las 11:57 a.m., aproximadamente cinco minutos antes de que ocurriera el ataque. Las firmas de seguridad rivales PeckShield y Cyvers también notaron transacciones sospechosas en OnyxDAO, antes del hackeo. 

Cyvers señaló que la mayoría de las pérdidas fueron en VUSD, una stablecoin denominada en dólares estadounidenses. El presunto atacante también posee 521 ETH valorados en aproximadamente $1.36 millones y, según Cyvers, ha dudado en intercambiar los activos robados. 

Según PeckShield, que estima la pérdida más cerca de $3.8 millones, el atacante explotó un error conocido en la base de código de Compound V2 bifurcada y pudo desviar VUSD, DAI y stablecoins tether, entre otras criptomonedas. 

“Otro problema que facilita el hackeo está relacionado con el contrato NFTLiquidation, que no valida adecuadamente la entrada de usuario (no confiable) y fue explotado para inflar la cantidad de recompensa por auto-liquidación,” escribió Peckshield en X.

El pasado octubre, Onyx sufrió un ataque de $2.1 millones explotando una vulnerabilidad de redondeo de enteros y un ataque de préstamo flash. 

"El año pasado fue debido a una vulnerabilidad introducida cuando bifurcaron el código comprometido de Compound. Esta vez introdujeron una vulnerabilidad ellos mismos a través de errores en su lógica," dijo el fundador de Fuzzland, Chaofan Shou, a The Block en un mensaje.