DeFiプロトコルOnyxが320万ドルの攻撃を受け、1年以内で2度目の攻撃

DeFiレンディングプロトコルCompound FinanceのフォークであるOnyxは、木曜日に320万ドルの被害を受け、過去1年間で2度目のスマートコントラクトの悪用となりました。

セキュリティ企業Fuzzlandによると、悪意のあるコントラクトが午前11時57分にOnyxにデプロイされ、攻撃が発生する約5分前でした。競合するセキュリティ企業PeckShieldとCyversも、ハッキング前にOnyxDAOで疑わしいトランザクションを確認しました。

Cyversは、損失の大部分が米ドル建てのステーブルコインであるVUSDであると指摘しました。疑われる攻撃者は521 ETH（約136万ドル相当）も保有しており、Cyversによれば、盗まれた資産のスワップをためらっています。

PeckShieldによると、損失は約380万ドルに近く、攻撃者はフォークされたCompound V2コードベースの既知のバグを攻撃し、VUSD、DAI、テザーのステーブルコインなどの暗号通貨を吸い上げることができました。

「ハッキングを助長するもう一つの問題は、NFTLiquidationコントラクトに関連しており、（信頼できない）ユーザー入力を適切に検証せず、自己清算報酬額を膨らませるために悪用されました」とPeckshieldは Xに書きました。

昨年10月、Onyxは整数丸めの脆弱性とフラッシュローン攻撃を悪用され、210万ドルの攻撃を受けました。

「昨年は、フォークした際に脆弱なCompoundコードを導入したことによるものでした。今回は、彼ら自身がロジックの誤りを通じて脆弱性を導入しました」とFuzzlandの創設者Chaofan ShouはThe Blockにメッセージで述べました。