- OnyxProtocol (XCN) понес убытки в размере 2,1 миллиона $ в результате взлома DeFi.
- Мошенники используют уязвимость, аналогичную предыдущему взлому Hundred Finance.
- Злоумышленники манипулировали пустым контрактом и использовали ошибку округления в функции погашения контракта.
Известный протокол кредитования децентрализованного финансирования (DeFi) OnyxProtocol (XCN) стал одной из последних целей криптомошенников. В недавнем сообщении на платформе X (ранее Twitter) известный трекер угроз безопасности блокчейна SlowMist сообщил, что OnyxProtocol потерял более 2,1 миллиона $ из-за эксплойта.
По словам команды SlowMist, хакер воспользовался той же уязвимостью, которая ранее использовалась при взломе Hundred Finance, произошедшем в начале этого года. В частности, мошенники заняли больше средств, чем ожидалось, манипулируя процентными ставками.
Более того, SlowMist сообщил, что хакер перевел украденные средства в известный санкционированный крипто-микшер Tornado Cash, чтобы скрыть следы криптоактивов. Между тем, в соответствующем разговоре PeckShield, еще один трекер безопасности блокчейна, добавил дополнительный контекст к взлому OnyxProtocol.
PeckShield отметил, что транзакция мошенника, использовавшая рынок oPEPE, была развернута пять дней назад и не имела ликвидности. Таким образом, пустующим рынком манипулировали путем внесения на него пожертвований, по сути, срочного кредита, позволяющего злоумышленнику занимать средства на других рынках, обладающих ликвидностью. Впоследствии злоумышленник воспользовался ошибкой округления, чтобы выкупить пожертвованные средства.
Точно так же PeckShield признал, что вторжение было идентично тому, которое наблюдалось в Hundred Finance, когда было потеряно более семи миллионов долларов. Согласно апрельскому сообщению в блоге хакера роста Роба Бенке, Hundred Finance первоначально заключила свои контракты WTC hTokens, создав два аналогичных контракта: один активный и один пустой.
Таким образом, злоумышленники злоупотребили обменным курсом между WTC и hWTC, пожертвовав пустой контракт, уменьшив его стоимость, а также воспользовавшись ошибкой округления в функции погашения контракта. «Этот взлом выявил риски копирования кода со стороны третьих лиц», — заметил Бенке по поводу эксплойта Hundred Finance.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
