Protocolo Onyx fue víctima de un exploit por segunda vez por USD 3.8M a través de un conocido bug

El protocolo de finanzas descentralizadas (DeFi) Onyx fue explotado por USD 3.8 millones el 26 de septiembre, según un informe de la plataforma de seguridad blockchain PeckShield. El exploit utilizó un bug conocido en la base de código de Compound Finance v2, que ya se había utilizado para explotar Onyx el 1 de noviembre. Una vulnerabilidad en el contrato de liquidación de tokens no fungibles (NFT) también contribuyó al ataque, según el informe.

En un post publicado en X el 27 de septiembre, el equipo de Onyx afirmaba que el contrato NFT defectuoso era la causa raíz del exploit.

Según el informe de PeckShield, USD 4.1 millones virtuales (VUSD), 7.35 millones de Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), USD 5,000 de la stablecoin Dai (DAI) y USD 50,000 de la stablecoin USDt (USDT) fueron drenados del protocolo, por un total de más de USD 3.8 millones en pérdidas.

La vulnerabilidad conocida existe en la versión 2 de Compound Finance, que es una base de código a menudo bifurcada y utilizada por protocolos financieros descentralizados. Dio lugar a un exploit contra Hundred Finance en abril de 2023. En
octubre de 2023, la vulnerabilidad se utilizó por primera vez contra Onyx.

El bug sólo puede explotarse cuando existe un «mercado vacío», es decir, un mercado sin liquidez, lo que generalmente sólo ocurre cuando se lanza un nuevo mercado.

El equipo de Onyx ha reconocido el exploit en un mensaje X. «El protocolo Onyx fue objeto de un incidente de seguridad en el que un actor nefasto explotó el protocolo para drenar VUSD del protocolo», afirmó. Sin embargo, afirmaba que el fallo conocido no era su causa principal. «El problema principal no era un mercado vacío, sino el contrato de liquidación NFTL», afirmó en un hilo.

Peck Shield coincidió en que el contrato NFT fue «otro problema que facilitó el hackeo». El contrato defectuoso permitió al atacante «inflar el importe de la recompensa de autoliquidación» porque no «validaba correctamente la entrada del usuario (sin confianza)».

*Vulnerabilidad del contrato NFT de Onyx. Fuente: PeckShield*

Los exploits de DeFi son una fuente común de pérdidas para los usuarios de Web3. El 27 de septiembre, el protocolo de staking líquido Bedrock perdió más de USD 2 millones debido a una vulnerabilidad en su contrato uniBTC. El 23 de septiembre, Bankroll Network perdió USD 230,000 cuando un atacante realizó múltiples autotransferencias, explotando una función defectuosa de “buyFor” para inflar sus ganancias.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.