NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

原创 | Odaily星球日报(

作者 | 夫如何(

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

昨日,借贷平台 Onyx Protocol 被黑客利用漏洞攻击,损失价值超 380 万美元,被盗资金包括 1300 万枚 VUSD、 735 万枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 万枚 USDT。

,VUSD 立即脱锚,最低跌至 0.2757 美元, 24H 跌幅达 72.43% ;截至发文,VUSD 依旧处于脱锚状态,但已回升至 0.7228 美元,24H 跌幅收窄至 28.3% 。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

 为了应对本次被盗事件,发布提案 OIP-46 ,建议重新启动 Onyx 的开源许可金融网络 Onyx Core,作为主要产品,与 XCN Staking 一起确保 Onyx Core 的治理和 Onyx Staker 的奖励。

根据该提案,Onyx Protocol 将在 Onyx Core 上以封闭式借贷协议运行,允许用户将 NFT 和真实资产(RWA)包装并借贷,同时支持来自多个链的加密资产。此举将关闭基于以太坊的借贷市场,并全额补偿所有受影响用户,按照 1:1的比例支付其提供的资产。

事件回顾

9 月 26 日 20: 48 ,安全公司 在 X 上发文,经其系统检测到涉及 Onyx 可疑交易,损失或已达 320 万美元。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

同日 21: 55 ,安全公司  在 x 平台发文称,抽走资金包括 410 万枚 VUSD、 735 万枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 万枚 USDT。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

VUSD 官方随后发布公告称:“遭遇安全漏洞,导致超过 1300 万美元的 VUSD 被盗。黑客随后将盗取的 VUSD 出售至流动性池,导致二级市场流动性损失约 150 万美元。事件发生后,智能合约已被暂停,以便进行适当沟通,目前确认 VUSD 代码库及储备没有漏洞。恶意行为者将根据服务条款被列入黑名单,待调查结束后,VUSD 智能合约服务将恢复,参与者可继续套利。

官方称,VUSD 仍由超额抵押的资产全额支持,机构用户可按市场价格赎回和铸造 VUSD。VUSD 正在与 Onyx DAO 及相关当局合作识别攻击者,并计划在未来探索零售赎回所需的许可证。

Onyx Protocol 被盗原因是什么?

安全公司  表示,促成黑客攻击的问题与 NFT 清算合约有关,该合约未能正确验证(不可信的)用户输入,导致自我清算奖励金额被人为扩大。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

 引用  关于“黑客利用 NFTLiquidation 合约漏洞攻击”的推文表示,黑客利用该协议从中抽走了 VUSD,此次漏洞可以从 NFT 清算合约中的一个安全隐患中识别和理解。主要问题并非 Empty market,而是 NFT Liquidation 合约,XCN 质押和 XCN Farming 未受影响。

知名安全公司 CertiK 告诉Odaily星球日报:“Onyx Protocol 的清算合约没有校验用户传入的 oTokenCollateral 和 oTokenRepay 地址。简单来说,攻击者通过自己部署的恶意合约欺骗 Onyx 协议他已经归还了欠款,从而在不归还欠款的情况下取回了所有抵押品”。

 还提到,Onyx 被盗原因可能是分叉 Compound V2 代码库中已知精度问题,该漏洞已被攻击者利用。CertiK 也表示,Compound V2 的精度损失问题导致的Empty Market Vulnerability确是一个已经被多次攻击的已知问题,去年的 Hundred Finance 以及今年 5 月份的 Sonne Finance 都因为精度损失遭到攻击。

Odaily星球日报调查发现,去年 11 月,Onyx 同样受到黑客攻击,被攻击的原因同样是黑客利用 Compound V2 分叉版本背后的已知舍入问题。但当时  表示,漏洞得到修复,正与合作伙伴一起处理后续。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

据悉,Onyx Protocol 是以太坊生态的链上借贷平台,旨在提供代币和 NFT 的借贷市场,其中关于代币部分可能在开发过程中引用了 Compound V2 的代码,算是 Compound V2 分叉。但当时的 Compound V2 的代码存在精度问题,后续 Compound 自身已经修改相关问题,但在这之前分叉的项目却无法避免相关问题。

关于 Onyx Protocol 被盗后续进展,Odaily星球日报将持续关注。

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注