您的位置: > 欧 易 OKX 区块链新闻> 正文

打印本文             

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

原创 | Odaily星球日报(@OdailyChina

作者 | 夫如何(@vincent 31515173 

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

昨日,借贷平台 Onyx Protocol 被黑客利用漏洞攻击,损失价值超 380 万美元,被盗资金包括 1300 万枚 VUSD、 735 万枚 XCN、 5000 枚 DAI、 0.23 枚 WBTC 和 5 万枚 USDT。

CoinGecko 数据显示,VUSD 立即脱锚,最低跌至 0.2757 美元, 24H 跌幅达 72.43% ;截至发文,VUSD 依旧处于脱锚状态,但已回升至 0.7228 美元,24H 跌幅收窄至 28.3% 。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

Onyx Protocol 为了应对本次被盗事件,发布提案 OIP-46 ,建议重新启动 Onyx 的开源许可金融网络 Onyx Core,作为主要产品,与 XCN Staking 一起确保 Onyx Core 的治理和 Onyx Staker 的奖励。

根据该提案,Onyx Protocol 将在 Onyx Core 上以封闭式借贷协议运行,允许用户将 NFT 和真实资产(RWA)包装并借贷,同时支持来自多个链的加密资产。此举将关闭基于以太坊的借贷市场,并全额补偿所有受影响用户,按照 1:1的比例支付其提供的资产。

PeckShield 表示,促成黑客攻击的问题与 NFT 清算合约有关,该合约未能正确验证(不可信的)用户输入,导致自我清算奖励金额被人为扩大。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

Onyx Protocol 引用 PeckShield 关于“黑客利用 NFTLiquidation 合约漏洞攻击”的推文表示,黑客利用该协议从中抽走了 VUSD,此次漏洞可以从 NFT 清算合约中的一个安全隐患中识别和理解。主要问题并非 Empty market,而是 NFT Liquidation 合约,XCN 质押和 XCN Farming 未受影响。

知名安全公司 CertiK 告诉Odaily星球日报:“Onyx Protocol 的清算合约没有校验用户传入的 oTokenCollateral 和 oTokenRepay 地址。简单来说,攻击者通过自己部署的恶意合约欺骗 Onyx 协议他已经归还了欠款,从而在不归还欠款的情况下取回了所有抵押品”。

PeckShield 还提到,Onyx 被盗原因可能是分叉 Compound V2 代码库中已知精度问题,该漏洞已被攻击者利用。CertiK 也表示,Compound V2 的精度损失问题导致的"Empty Market Vulnerability"确是一个已经被多次攻击的已知问题,去年的 Hundred Finance 以及今年 5 月份的 Sonne Finance 都因为精度损失遭到攻击。

Odaily星球日报调查发现,去年 11 月,Onyx 同样受到黑客攻击,被攻击的原因同样是黑客利用 Compound V2 分叉版本背后的已知舍入问题。但当时 Onyx 社区负责人 Alex 表示,漏洞得到修复,正与合作伙伴一起处理后续。

NFT清算合约漏洞遭黑客攻击,Onyx Protocol稳定币VUSD脱锚下跌70%

据悉,Onyx Protocol 是以太坊生态的链上借贷平台,旨在提供代币和 NFT 的借贷市场,其中关于代币部分可能在开发过程中引用了 Compound V2 的代码,算是 Compound V2 分叉。但当时的 Compound V2 的代码存在精度问题,后续 Compound 自身已经修改相关问题,但在这之前分叉的项目却无法避免相关问题。

关于 Onyx Protocol 被盗后续进展,Odaily星球日报将持续关注。


关于我们

支持iOS|android|windows等平台

  • 用户支持
  • 帮助中心
  • 服务条款
微信二维码
欧 易 (OKX) 数字货币交易平台 Powered by OKX