O Onyx Protocol, um fork da Compound Finance, sofreu uma perda de US$ 3,8 milhões na quinta-feira, marcando outra entrada em uma série de ataques à medida que malfeitores exploram vulnerabilidades do sistema.
Os ataques cibernéticos continuam a atormentar a indústria das criptomoedas, destacando a necessidade de maior segurança.
Hack de US$ 3,8 milhões atinge protocolo Onyx
A empresa de segurança Blockchain PeckShield destacou transações suspeitas no OnyxDAO, chamando a atenção para um possível ataque ao protocolo. Em uma postagem subsequente, o detetive da rede revelou perdas que chegaram a US$ 3,8 milhões, indicando que o hacker já estava trocando os fundos.
A empresa de segurança Web3 Cyvers confirmou o incidente, citando transações suspeitas envolvendo OnyxDAO na blockchain Ethereum. Segundo Cyvers, a maior parte da perda ocorreu na stablecoin VUSD.
“Nosso sistema detectou uma transação suspeita envolvendo OnyxDAO na cadeia ETH. A perda total é de aproximadamente US$ 3,2 milhões [na época]. A maioria das perdas está em VUSD. os ativos digitais ainda não foram negociados”, escreveu Cyvers.
Leia mais: Crypto Project Security: um guia para detecção precoce de ameaças
Uma investigação mais aprofundada do PeckShield revelou que o invasor explorou um problema conhecido de precisão apresentado como um bug na base de código bifurcada do Compound V2. Eles então roubaram 4,1 milhões de VUSD, 7,35 milhões de XCN, 5.000 DAI, 0,23 WBTC e 50.000 USDT. O bug teria explorado um mercado quase vazio para manipular a taxa de câmbio.
Notavelmente, os hackers usaram a mesma abordagem em outubro de 2023, hackeando o mesmo protocolo por US$ 2,1 milhões. No incidente de outubro, a vulnerabilidade foi um erro de arredondamento. Na época, os pesquisadores atribuíram a vulnerabilidade ao fato de o protocolo Onyx ser um fork do Compound Finance.
Como ocorre a vulnerabilidade do código
Como muitos protocolos DeFi são de código aberto, os desenvolvedores tendem a evitar a abordagem remota. Eles optam por desenvolver o código existente em vez de implementar recursos do zero.
A abordagem é considerada popular porque pode melhorar a eficiência e a segurança se for feita corretamente. A desvantagem é que se o código do modelo for inseguro, o fork pode herdar vulnerabilidades.
“No caso do protocolo Onyx, o código Compound Finance utilizado tinha uma vulnerabilidade conhecida que já havia sido explorada na Hundred Finance e na Midas Capital, que também bifurcou o código Compound Finance. No entanto, o protocolo Onyx usava o mesmo código e não tinha o suporte e a supervisão necessários da comunidade para evitar que a vulnerabilidade fosse explorada”, informou a empresa de segurança Halborn .
Isso significa que o hack do Protocolo Onyx poderia ter sido evitado, dada a prevalência de erros de arredondamento. Em particular, já existem diretrizes para o lançamento de novos mercados no Compound Finance e nos seus forks.
“Na Hexagate, recomendamos que qualquer fork do Compound V2, ao lançar novos mercados, cunhe alguns cTokens e queime-os para garantir que o fornecimento total nunca chegue a zero. Quando a oferta total chega a zero, o protocolo torna-se vulnerável e esta estratégia mitiga esta situação”, explicou a empresa de segurança Hexgate em abril de 2023.
Leia mais: O que é financiamento composto?
Estes incidentes, incluindo o ataque de quarta-feira à infraestrutura descentralizada, no valor de 4,6 milhões de dólares, refletem o desafio predominante na indústria das criptomoedas, onde os malfeitores utilizam vários mecanismos para roubar ativos digitais.
O artigo Protocolo Onyx perde US$ 3,8 milhões em hack evitável foi visto pela primeira vez em BeInCrypto .