Hôm qua, nền tảng cho vay Onyx Protocol đã bị tin tặc lợi dụng lỗ hổng để tấn công, gây thiệt hại giá trị hơn 3,8 triệu USD. Số tiền bị đánh cắp bao gồm 13 triệu VUSD, 7,35 triệu XCN, 5.000 DAI, 0,23 WBTC và 50.000 USDT.
Dữ liệu từ CoinGecko cho thấy, VUSD ngay lập tức mất peg, giảm xuống mức thấp nhất là 0,2757 USD, với mức giảm 72,43% trong 24 giờ; tính đến thời điểm bài viết, VUSD vẫn đang ở trạng thái mất peg nhưng đã hồi phục lên 0,7228 USD, với mức giảm trong 24 giờ giảm xuống còn 28,3%.
Để ứng phó với sự cố bị đánh cắp này, Onyx Protocol đã phát hành đề xuất OIP-46, đề nghị khởi động lại mạng tài chính mã nguồn mở Onyx Core, là sản phẩm chính, cùng với XCN Staking để đảm bảo quản trị Onyx Core và phần thưởng cho Onyx Staker.
Theo đề xuất này, Onyx Protocol sẽ hoạt động trên Onyx Core với giao thức cho vay đóng, cho phép người dùng đóng gói và cho vay NFT và tài sản thực (RWA), đồng thời hỗ trợ các tài sản crypto từ nhiều chuỗi khác nhau. Hành động này sẽ đóng cửa thị trường cho vay dựa trên Ethereum và bồi thường toàn bộ cho tất cả người dùng bị ảnh hưởng, theo tỷ lệ 1:1 cho tài sản mà họ đã cung cấp.
Tóm tắt sự kiện:
Vào lúc 20:48 ngày 26 tháng 9, công ty an ninh Cyvers đã đăng bài trên X, cho biết hệ thống của họ đã phát hiện giao dịch nghi vấn liên quan đến Onyx, với thiệt hại có thể đã lên tới 3,2 triệu USD.
Vào lúc 21h55 cùng ngày, công ty bảo mật PeckShield đã ban hành văn bản về việc
VUSD đã chính thức thông báo về sự cố bảo mật, xác nhận rằng hơn 13 triệu USD VUSD đã bị đánh cắp. Tin tặc đã bán số VUSD này vào các bể thanh khoản, gây thiệt hại khoảng 1,5 triệu USD cho thanh khoản thị trường thứ cấp. Sau sự cố, hợp đồng thông minh đã bị tạm dừng để điều tra và hiện đã xác nhận rằng mã nguồn của VUSD và tài sản dự trữ không gặp vấn đề. VUSD cam kết rằng các hành động của kẻ tấn công sẽ bị điều tra và chúng sẽ bị đưa vào danh sách đen, trong khi các dịch vụ hợp đồng thông minh sẽ sớm được khôi phục, cho phép người dùng tiếp tục giao dịch.
VUSD hiện vẫn được hỗ trợ hoàn toàn bởi tài sản thế chấp vượt mức, và người dùng tổ chức có thể mua lại và đúc VUSD theo giá thị trường. VUSD cũng đang hợp tác với Onyx DAO và các cơ quan chức năng để xác định danh tính kẻ tấn công, đồng thời có kế hoạch khám phá việc cấp phép mua lại cho người dùng cá nhân trong tương lai.
Tại sao Giao thức Onyx bị đánh cắp?
Về nguyên nhân vụ tấn công, công ty bảo mật PeckShield đã cho biết vấn đề xuất phát từ hợp đồng thanh lý NFT của Onyx Protocol, khi hợp đồng này không kiểm tra kỹ đầu vào từ người dùng, cho phép tin tặc thao túng và tự thanh lý với số lượng tiền thưởng lớn hơn thực tế. Điều này đã dẫn đến việc hacker có thể rút VUSD một cách bất hợp pháp. Onyx Protocol đã xác nhận thông tin này và giải thích thêm rằng các tính năng khác như XCN staking và XCN farming không bị ảnh hưởng.
Công ty bảo mật CertiK cũng cung cấp thêm chi tiết, cho rằng hợp đồng thanh lý NFT của Onyx đã không kiểm tra đúng địa chỉ oTokenCollateral và oTokenRepay, cho phép hacker sử dụng hợp đồng độc hại để gian lận rằng khoản vay đã được hoàn trả, và qua đó thu hồi toàn bộ tài sản thế chấp mà không thực sự trả nợ. PeckShield cũng nhấn mạnh rằng vấn đề chính là từ lỗi độ chính xác trong mã nguồn Compound V2 mà Onyx đã fork, vốn là một lỗi đã được khai thác trong nhiều vụ tấn công trước đây.
Vào tháng 11 năm ngoái, Onyx cũng đã bị tin tặc tấn công, nguyên nhân vụ tấn công tương tự là do tin tặc khai thác vấn đề về làm tròn đã biết trong phiên bản phân nhánh của Compound V2. Tuy nhiên, vào thời điểm đó, người đứng đầu cộng đồng Onyx, Alex, cho biết lỗ hổng đã được sửa chữa và họ đang làm việc với các đối tác để xử lý các vấn đề tiếp theo.
Onyx Protocol là một nền tảng cho vay trên chuỗi thuộc hệ sinh thái Ethereum, nhằm cung cấp thị trường cho vay token và NFT. Trong phần token, có thể trong quá trình phát triển đã tham chiếu mã nguồn của Compound V2, được coi là một phân nhánh của Compound V2. Tuy nhiên, mã nguồn của Compound V2 vào thời điểm đó đã gặp phải vấn đề về độ chính xác, và mặc dù sau này Compound đã sửa đổi các vấn đề liên quan, nhưng các dự án phân nhánh trước đó không thể tránh khỏi những vấn đề này.