- Onyx Protocol (XCN) menderita kerugian US$2.1 juta dalam peretasan DeFi.
- Penipu menggunakan kerentanan serupa dengan peretasan Hundred Finance sebelumnya.
- Penyerang memanipulasi kontrak kosong dan menggunakan kesalahan pembulatan dalam fungsi penebusan kontrak.
Protokol pinjaman keuangan terdesentralisasi (DeFi) terkemuka Onyx Protocol (XCN) telah menjadi salah satu target terbaru para penipu kripto. Dalam postingan baru-baru ini di platform X (sebelumnya Twitter), pelacak ancaman keamanan blockchain terkenal SlowMist mengungkapkan bahwa Onyx Protocol kehilangan lebih dari US$2,1 juta setelah dieksploitasi.
Menurut tim SlowMist, peretas mengeksploitasi kerentanan yang sama yang sebelumnya dieksploitasi dalam peretasan Hundred Finance yang terjadi awal tahun ini. Secara khusus, penipu meminjam lebih banyak dana dari yang diharapkan dengan memanipulasi suku bunga.
Selain itu, SlowMist mengungkapkan bahwa peretas memindahkan dana yang dicuri ke mixer kripto yang disanksi, Tornado Cash, untuk mengaburkan jejak aset kripto. Sementara itu, dalam percakapan terkait, PeckShield, pelacak keamanan blockchain lainnya, menambahkan konteks lebih lanjut ke peretasan Onyx Protocol.
PeckShield mencatat bahwa transaksi penipu yang mengeksploitasi pasar oPEPE dilakukan lima hari yang lalu dan tidak memiliki likuiditas. Oleh karena itu, pasar yang kosong dimanipulasi dengan memberikan sumbangan kepada pasar tersebut, yang pada dasarnya merupakan pinjaman kilat atau flash loan, sehingga memungkinkan penyerang untuk meminjam dana dari pasar lain yang memiliki likuiditas. Selanjutnya, penyerang mengeksploitasi kesalahan pembulatan untuk menebus dana sumbangan.
Demikian pula, PeckShield mengakui bahwa invasi tersebut identik dengan yang terjadi di Hundred Finance, yang mengakibatkan kerugian lebih dari tujuh juta dolar. Menurut postingan blog bulan April oleh peretas pertumbuhan Rob Behnke, Hundred Finance awalnya membuat kontrak hToken WTC dengan membuat dua kontrak serupa, satu aktif dan satu kosong.
Oleh karena itu, penyerang menyalahgunakan nilai tukar antara WTC dan hWTC dengan menyumbang ke kontrak kosong, menguras nilainya, sekaligus memanfaatkan kesalahan pembulatan dalam fungsi penebusan kontrak. “Peretasan ini menyoroti risiko penyalinan dan penempelan kode dari pihak ketiga,” ungkap komentar Behnke tentang eksploitasi Hundred Finance.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
