火币网交易平台资讯

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

发表于 1个月前 (09-28) 火币网交易平台资讯 41

原创 | Odaily星球日报(

作者 | 夫如何(

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

昨日,借贷平台 Onyx Protocol 被黑客利用漏洞攻击,损失价值超 380 万美元,被盗资金包括 1300 万枚 VUSD、 735 万枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 万枚 USDT。

,VUSD 立即脱锚,最低跌至 0.2757 美元, 24H 跌幅达 72.43% ;截至发文,VUSD 依旧处于脱锚状态,但已回升至 0.7228 美元,24H 跌幅收窄至 28.3% 。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

 为了应对本次被盗事件,发布提案 OIP-46 ,建议重新启动 Onyx 的开源许可金融网络 Onyx Core,作为主要产品,与 XCN Staking 一起确保 Onyx Core 的治理和 Onyx Staker 的奖励。

根据该提案,Onyx Protocol 将在 Onyx Core 上以封闭式借贷协议运行,允许用户将 NFT 和真实资产(RWA)包装并借贷,同时支持来自多个链的加密资产。此举将关闭基于以太坊的借贷市场,并全额补偿所有受影响用户,按照 1:1的比例支付其提供的资产。

事件回顾

9 月 26 日 20: 48 ,安全公司 在 X 上发文,经其系统检测到涉及 Onyx 可疑交易,损失或已达 320 万美元。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

同日 21: 55 ,安全公司  在 x 平台发文称,抽走资金包括 410 万枚 VUSD、 735 万枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 万枚 USDT。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

VUSD 官方随后发布公告称:“遭遇安全漏洞,导致超过 1300 万美元的 VUSD 被盗。黑客随后将盗取的 VUSD 出售至流动性池,导致二级市场流动性损失约 150 万美元。事件发生后,智能合约已被暂停,以便进行适当沟通,目前确认 VUSD 代码库及储备没有漏洞。恶意行为者将根据服务条款被列入黑名单,待调查结束后,VUSD 智能合约服务将恢复,参与者可继续套利。

官方称,VUSD 仍由超额抵押的资产全额支持,机构用户可按市场价格赎回和铸造 VUSD。VUSD 正在与 Onyx DAO 及相关当局合作识别攻击者,并计划在未来探索零售赎回所需的许可证。

Onyx Protocol 被盗原因是什么?

安全公司  表示,促成黑客攻击的问题与 NFT 清算合约有关,该合约未能正确验证(不可信的)用户输入,导致自我清算奖励金额被人为扩大。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

 引用  关于“黑客利用 NFTLiquidation 合约漏洞攻击”的推文表示,黑客利用该协议从中抽走了 VUSD,此次漏洞可以从 NFT 清算合约中的一个安全隐患中识别和理解。主要问题并非 Empty market,而是 NFT Liquidation 合约,XCN 质押和 XCN Farming 未受影响。

知名安全公司 CertiK 告诉Odaily星球日报:“Onyx Protocol 的清算合约没有校验用户传入的 oTokenCollateral 和 oTokenRepay 地址。简单来说,攻击者通过自己部署的恶意合约欺骗 Onyx 协议他已经归还了欠款,从而在不归还欠款的情况下取回了所有抵押品”。

 还提到,Onyx 被盗原因可能是分叉 Compound V2 代码库中已知精度问题,该漏洞已被攻击者利用。CertiK 也表示,Compound V2 的精度损失问题导致的Empty Market Vulnerability确是一个已经被多次攻击的已知问题,去年的 Hundred Finance 以及今年 5 月份的 Sonne Finance 都因为精度损失遭到攻击。

Odaily星球日报调查发现,去年 11 月,Onyx 同样受到黑客攻击,被攻击的原因同样是黑客利用 Compound V2 分叉版本背后的已知舍入问题。但当时  表示,漏洞得到修复,正与合作伙伴一起处理后续。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

据悉,Onyx Protocol 是以太坊生态的链上借贷平台,旨在提供代币和 NFT 的借贷市场,其中关于代币部分可能在开发过程中引用了 Compound V2 的代码,算是 Compound V2 分叉。但当时的 Compound V2 的代码存在精度问题,后续 Compound 自身已经修改相关问题,但在这之前分叉的项目却无法避免相关问题。

关于 Onyx Protocol 被盗后续进展,Odaily星球日报将持续关注。

相关文章

SignalPlus波动率专栏(20240717):IV走高走平

过去一天里,BTC 的价格节节攀升,一度突破 66000 美元,现货  […]

Odaily编辑部投资操作全记录(8月12日)

本新栏目为 Odaily 编辑部成员真实投资经历分享,不接受任何商务广告,不构成投资建议(因为本司同事都很擅长 […]

截至6月21日,全球比特币ETF共计持有102.9万枚比特币,AUM达668.85亿美元

博链财经BroadChain获悉,据 HODL15Capital 监测,截至6月21日,美国比特币现货ETF共 […]

加入火币网交易平台,探索区块链世界!

探索DeFi,DApps, NFTs 和GameFi的世界,和火币(Huobi)一起创造未来!

  • 方便快捷
    方便快捷

    随时随地都可在线赚钱

  • 性能稳定
    性能稳定

    响应速度快,放心有保障

  • 用户体验
    用户体验

    响应式布局,兼容各种设备

  • 持续更新
    持续更新

    不断升级维护,更好服务用户