Onyx Protocol 昨日因安全漏洞—四舍五入问题(rounding issue)遭受攻击,造成超过 1,160 枚 ETH(相当於 210 万美元)的资金损失。团队表示立即封锁了该漏洞,并确认了未影响到与 XCN 代币相关的链上资产,最新消息公布其正在制定补偿计画,将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,以保障受骇客攻击影响的用户获得相应的赔偿。值得一提的是,经链上数据分析发现,攻击者向三名「乞讨者」送出了共 23.9 枚 ETH。
(背景补充:今年最大窃案!Euler奇蹟收回2亿镁,19岁骇客的魔鬼与天使 )
本文目录
去中心化借贷协议 Onyx Protocol 昨(1)日遭受攻击,被窃取 1164.5 枚 ETH,等值约 210 万美元。根据区块链安全公司 PeckShield 调查指出,这次的攻击利用的是一个已知的漏洞,即四舍五入问题(rounding issue)。
骇客攻击手法
「四舍五入问题」指的是在区块链借贷协议的实作中,由於固定位数限制,可能会导致资产计算上的小数点後的数值在某些操作中被不恰当地四舍五入,这可能会在计算利息或者交易分割时造成微小的资金损失或增益。在复杂的金融交易中,这种看似微不足道的问题将会被累积起来造成重大影响,如同这次 Onyx Protocol 损失的 210 万美元。
The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.
Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E
— PeckShield Inc. (@peckshield) November 1, 2023
具体来说,骇客攻击的方式如下:
- 首先,oPEPE 市场(这是一个代币市场)在没有任何流动性(即没有资金或其他资产支持交易)的情况下被部署了。
- 在这个空的市场中,骇客透过捐赠资金的方式,使得 oPEPE 市场得以在其他有流动性的市场上借款。
- 骇客然後利用已知的四舍五入问题,从这个市场赎回了捐赠的资金。
简而言之,这次攻击利用了一个故意留空的市场,透过捐赠资金创造了借款的假象,并透过四舍五入的漏洞来盗取更多的资金。
团队表示安全无虞与补偿计画
攻击发生後,Onyx 协议团队表示他们已经掌握了事态发展,立即封锁了该漏洞,并确认了这次的漏洞并未影响到 XCN 代币及其合约、XCN 的质押池,以及 Uniswap 上的交易池,这些部分都是安全的。
最新进展公布了 Onyx 协议团队正在制定补偿计画,他们将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,从该资金池中出售 XCN 代币,用於直接赔偿受骇客攻击影响的用户。
The @OnyxProtocol experienced an exploit: https://t.co/4feaaEipfF. Fund loss is 1,163.53 ETH ~$2.1mln.
We are aware of the situation, closed the vulnerability, and working on the consequences with our partners.— Alex Onyx (@al_onyxprotocol) November 1, 2023
送「乞讨者」23.9 枚 ETH
经可视化金流分析平台 MetaSleuth 追踪骇客地址发现,攻击者随後将资金转移至另一个地址(开头 0x4c),并将大部分的资金转移到混币协议 Tornado Cash,为了隐藏其资金流向。
值得注意的是,约剩余 23.9 枚 ETH 攻击者分发至 3 个地址:
经链上纪录分析发现,这三位用户均向攻击者发出请求,希望获得一些以太币,形同在链上用文字乞讨的加密乞丐。而在收到以太币後,他们对攻击者表示了深深的感激之情,具体的用户与攻击者之间的链上互动如下所示:
虽然向攻击者发送资金请求是过去也曾发生的事情,不过也因为链上记录公开透明,若用户真实身分被追踪到,也不排除 Onyx 团队会追究责任并要求归还资金。
延伸阅读:史上最大!Poly Network「遭骇6亿美元」波及以太 币安…群众却教骇客洗钱换打赏?
📍相关报导📍
史上最大!Poly Network「遭骇6亿美元」波及以太 币安…群众却教骇客洗钱换打赏?
丝路5万枚BTC窃案》骇客奢侈爽十年,家遭小偷报警意外遭捕、33亿镁比特币全没收
Friend.tech雪崩版》Stars Arena成功追回90%资金、骇客归还 239,493 AVAX