Onyx Protocol, un fork di Compound Finance, giovedì ha subito una perdita di 3,8 milioni di dollari, segnando un altro ingresso in una serie di attacchi mentre i malintenzionati esplorano la vulnerabilità del sistema.
Gli attacchi informatici continuano ad affliggere il settore delle criptovalute, evidenziando la necessità di una maggiore sicurezza.
Un attacco hacker da 3,8 milioni di dollari colpisce il protocollo Onyx
La società di sicurezza blockchain PeckShield ha evidenziato transazioni sospette su OnyxDAO, attirando l'attenzione su un possibile attacco al protocollo. In un post successivo, il detective on-chain ha rivelato perdite che hanno raggiunto i 3,8 milioni di dollari, indicando che l’hacker stava già scambiando i fondi.
La società di sicurezza Web3 Cyvers ha confermato l'incidente, citando transazioni sospette che coinvolgono OnyxDAO sulla blockchain di Ethereum. Secondo Cyvers, la maggior parte della perdita è avvenuta nella stablecoin VUSD.
"Il nostro sistema ha rilevato una transazione sospetta che coinvolge OnyxDAO sulla catena ETH! La perdita totale è di circa 3,2 milioni di dollari [all’epoca]. La maggior parte delle perdite sono in VUSD. L'aggressore detiene attualmente 521 ETH (1,36 milioni di dollari). Il resto delle risorse digitali non è ancora stato scambiato”, ha scritto Cyvers.
Per saperne di più: Sicurezza del progetto Crypto: una guida al rilevamento precoce delle minacce
Ulteriori indagini da parte di PeckShield hanno rivelato che l'aggressore ha sfruttato un noto problema di precisione presentato come un bug nel codice base biforcuto di Compound V2. Hanno quindi sottratto 4,1 milioni di VUSD, 7,35 milioni di XCN, 5.000 DAI, 0,23 WBTC e 50.000 USDT. Secondo quanto riferito, il bug ha sfruttato un mercato quasi vuoto per manipolare il tasso di cambio.
In particolare, gli hacker hanno utilizzato lo stesso approccio nell’ottobre del 2023, hackerando lo stesso protocollo per 2,1 milioni di dollari. Nell'incidente di ottobre la vulnerabilità era un errore di arrotondamento. All'epoca, i ricercatori attribuirono la vulnerabilità al fatto che il protocollo Onyx fosse un fork di Compound Finance.
Come si verifica la vulnerabilità del codice
Dato che molti protocolli DeFi sono open source, gli sviluppatori tendono a evitare l’approccio lungo. Scelgono di basarsi su un codice esistente anziché implementare funzionalità da zero.
L'approccio è considerato popolare in quanto può migliorare l'efficienza e la sicurezza se eseguito correttamente. Lo svantaggio è che se il codice del modello non è sicuro, il fork potrebbe ereditare le vulnerabilità.
“Nel caso del protocollo Onyx, il codice Compound Finance utilizzato presentava una vulnerabilità nota che era già stata sfruttata in Hundred Finance e Midas Capital, che hanno anche biforcato il codice Compound Finance. Tuttavia, il protocollo Onyx utilizzava lo stesso codice e mancava del supporto e della vigilanza della comunità necessari per impedire che la vulnerabilità venisse sfruttata", ha riferito la società di sicurezza Halborn.
Ciò significa che l’hacking del protocollo Onyx avrebbe potuto essere evitato, data la prevalenza di errori di arrotondamento. In particolare, esistono già linee guida per il lancio di nuovi mercati su Compound Finance e le sue fork.
“In Hexagate, consigliamo a qualsiasi fork di Compound V2, quando si lanciano nuovi mercati, di coniare alcuni cToken e bruciarli per assicurarsi che l'offerta totale non vada mai a zero. Quando la fornitura totale arriva a zero, il protocollo diventa vulnerabile e questa strategia mitiga questa situazione”, ha spiegato la società di sicurezza Hexgate nell’aprile 2023.
Per saperne di più: Cos'è la finanza composta?
Questi episodi, incluso l’ attacco da 4,6 milioni di dollari all’infrastruttura decentralizzata di mercoledì, riflettono la sfida prevalente nel settore delle criptovalute, dove i malintenzionati utilizzano diversi meccanismi per rubare risorse digitali.
Il post Il protocollo Onyx perde 3,8 milioni di dollari in un hack prevenibile è apparso per la prima volta su BeInCrypto .