Onyx Protocol、予防可能なハッキングで380万ドルを失う

Compound FinanceのフォークであるOnyx Protocolは26日、システムの脆弱性を攻撃され380万ドルの損失を被りました。

サイバー攻撃は依然として暗号業界を悩ませており、セキュリティ強化の必要性が浮き彫りになっています。

380万ドルのハックがOnyxプロトコルをヒット

ブロックチェーンセキュリティ会社のPeckShieldは、OnyxDAOでの疑わしい取引 を強調し 、プロトコルへの攻撃の可能性に注意を喚起しました。その後の投稿で、オンチェーンの探偵は380万ドルに達する損失を明らかにし、ハッカーがすでに資金を交換していた ことを示しています 。

Onyxプロトコルハック： PeckShield

Web3セキュリティ会社のCyversは、イーサリアムブロックチェーン上のOnyxDAOが関与する疑わしい取引を引用して、この事件を裏付けました。Cyvers氏によると、損失の大部分はVUSDステーブルコインでした。

「私たちのシステムは、ETHチェーン上でOnyxDAOを含む疑わしい取引を検出しました!(当時の)総損失額は約320万ドルです。損失の大部分はVUSDです。攻撃者は現在、521ETH（136万ドル）を保有しています。残りのデジタル資産はまだスワップされていません」と Cyvers氏 は書いています。

PeckShieldによる追加の調査により、攻撃者はフォークされたCompound V2コードベースのバグとして提示された既知の精度の問題を利用した ことが明らかになりました 。その後、410万VUSD、735万XCN、5,000DAI、0.23WBTC、50,000USDTを吸い上げました。伝えられるところによると、このバグはほぼ空の市場を利用して為替レートを操作しました。

注目すべきは、ハッカーが2023年10月に同じアプローチを使用し、同じプロトコルをハッキングして210万ドルを稼いだことです。10 月のインシデントでは、脆弱性は丸め誤差でした。当時、研究者はこの脆弱性をOnyx ProtocolがCompound Financeのフォークであるとしていました。

コードの脆弱性がどのように発生するか

多くのDeFiプロトコルがオープンソースであるため、開発者は長いアプローチを避ける傾向があります。彼らは、機能をゼロから実装するのではなく、既存のコードから構築することを選択します。

このアプローチは、正しく行われると効率とセキュリティを向上させることができるため、人気があると考えられています。欠点は、テンプレートコードが安全でない場合、フォークが脆弱性を継承する可能性があることです。

「Onyxプロトコルの場合、使用したCompound Financeコードには、Hundred FinanceとMidas Capitalですでに悪用された既知の脆弱性があり、これもCompound Financeコードをフォークしていました。しかし、Onyxプロトコルは同じコードを使用しており、脆弱性が悪用されるのを防ぐために必要なコミュニティのサポートと警戒心が欠けていました」とセキュリティ会社のHalbornは述べています。

誤差が蔓延していることを考えると、Onyx Protocolのハッキングを防ぐことができたことを意味します。特に、Compound Financeとそのフォークで新しい市場を立ち上げる際には、すでにガイダンスが存在します。

「Hexagateでは、新しい市場を立ち上げる際には、任意のCompound V2フォークを推奨しています。新しい市場を立ち上げて、いくつかのcTokensを鋳造し、それらを燃やして、総供給量がゼロにならないようにします。総供給量がゼロになると、プロトコルは脆弱になり、この戦略はこの状況を緩和します」と、セキュリティ会社のHexgateは2023年4月に 指導しました 。

続きを読む: コンパウンドファイナンスとは?

水曜日に発生した分散型インフラのTruflationに対する460万ドルの 攻撃 を含むこれらの事件は、悪質な人物がデジタル資産を盗むためにさまざまなメカニズムを使用する暗号業界で蔓延している課題を反映しています。