원본 | 오데일리 플래닛 데일리( @OdailyChina )
작성자 | 남편 How ( @vincent 31515173 )
어제, 대출 플랫폼 Onyx Protocol이 취약점을 이용한 해커의 공격을 받아 380만 달러 이상의 손실을 입었습니다. 도난당한 자금에는 1,300만 VUSD, 735만 XCN, 5,000 DAI, 0.23 WBTC 및 50,000 USDT가 포함됩니다.
CoinGecko 데이터에 따르면 VUSD는 즉시 고정 해제되어 $0.2757까지 하락했으며 24시간 동안 72.43% 하락했습니다. 이 글을 쓰는 시점에서 VUSD는 여전히 고정되지 않았지만 $0.7228로 반등했으며 24시간 하락폭은 28.3%로 좁혀졌습니다.
오닉스 프로토콜 이번 도난 사건에 대응하여 Onyx의 오픈 소스 라이선스 금융 네트워크인 Onyx Core를 주요 제품으로 다시 출시하고 XCN Stake와 협력하여 Onyx Core의 거버넌스와 Onyx Staker의 보상을 보장하는 OIP-46 제안이 발표되었습니다.
제안에 따르면 Onyx 프로토콜은 Onyx Core에서 폐쇄형 대출 프로토콜로 실행되어 사용자가 NFT 및 실물 자산(RWA)을 래핑하고 대출하는 동시에 여러 체인의 암호화 자산을 지원할 수 있습니다. 이번 조치로 이더리움 기반 대출 시장이 폐쇄되고 영향을 받은 모든 사용자에게 그들이 제공하는 자산에 대해 1:1 비율로 완전히 보상됩니다.
이벤트 리뷰
9월 26일 20시 48분, 보안 회사 Cyvers 플랫폼은 자사 시스템이 Onyx와 관련된 의심스러운 거래를 감지했으며 손실이 미화 320만 달러에 달할 수 있다고 X에 게시했습니다.
이날 21시 55분경 보안업체 펙쉴드(PeckShield)는 해당 내용의 문건을 공개했다.
VUSD 관계자는 나중에 다음과 같이 발표했습니다. 보안 위반이 발생하여 1,300만 달러 이상의 VUSD가 도난당했습니다. 그런 다음 해커는 훔친 VUSD를 유동성 풀에 판매하여 2차 시장 유동성에서 약 150만 달러의 손실을 입혔습니다 . 해당 사건 이후, 원활한 통신을 위해 스마트 컨트랙트는 중단되었으며, 현재 VUSD 코드 베이스에 취약점이 없는 것으로 확인되었으며, 악성 행위자는 서비스 약관에 따라 블랙리스트에 등록될 예정입니다. 완료되면 VUSD 스마트 계약 서비스가 복원되고 참가자는 계속해서 차익거래를 할 수 있습니다. ”
공식적으로 VUSD는 여전히 초과 담보 자산으로 완벽하게 지원되며 기관 사용자는 시장 가격으로 VUSD를 상환하고 발행할 수 있습니다. VUSD는 공격자를 식별하기 위해 Onyx DAO 및 관련 당국과 협력하고 있으며 향후 소매 상환에 필요한 라이선스를 조사할 계획입니다.
Onyx 프로토콜이 도난당한 이유는 무엇입니까?
보안업체 PeckShield는 해킹에 기여한 문제가 NFT 청산 계약과 관련되어 있으며 신뢰할 수 없는 사용자 입력을 제대로 검증하지 못해 자체 청산 보상 금액이 인위적으로 부풀려졌다고 밝혔습니다.
Onyx 프로토콜은 NFTLiquidation 계약 취약성 공격을 이용하는 해커에 대한 PeckShield 의 트윗을 인용 하고 해커가 이 프로토콜을 사용하여 VUSD를 유출했다고 밝혔습니다. 이 취약성은 NFT 청산 계약의 보안 위험에서 식별되고 이해될 수 있습니다. 가장 큰 문제는 빈 시장이 아니라 NFT 청산 계약 과 XCN 파밍이 영향을 받지 않는다는 것 입니다.
유명 보안업체 CertiK는 Odaily Planet Daily에 Onyx 프로토콜의 청산 계약은 사용자가 전달한 oTokenColtral 및 oTokenRepay 주소를 확인하지 않았습니다. 간단히 말해서 공격자는 자신이 배포한 악의적인 계약을 통해 Onyx 프로토콜을 속였으며, 빚을 갚았기 때문에 빚진 것을 갚지 않고 담보를 모두 회수했다.”
PeckShield는 또한 Onyx가 도난당한 이유가 공격자가 악용한 분기된 컴파운드 V2 코드 베이스의 알려진 정확성 문제일 수 있다고 언급했습니다. CertiK는 또한 컴파운드 V2의 정확도 손실 문제로 인한 빈 시장 취약점은 지난해 헌드레드 파이낸스(Hundred Finance)와 올해 5월 손느 파이낸스(Sonne Finance)가 정확도 손실로 인해 공격을 받은 사실이 알려진 문제라고 밝혔다.
오데일리 플래닛 데일리(Odaily Planet Daily)의 조사에 따르면 오닉스 역시 지난해 11월 해커들의 공격을 받은 것으로 드러났다. 공격 이유 역시 해커들이 컴파운드 V2 포크 버전의 알려진 반올림 문제를 악용했기 때문이었다. 그러나 당시 Onyx 커뮤니티 리더인 Alex는 취약점이 수정되었으며 후속 조치가 파트너와 함께 처리되고 있다고 말했습니다.
Onyx Protocol은 토큰 및 NFT에 대한 대출 시장 제공을 목표로 하는 이더리움 생태계의 온체인 대출 플랫폼인 것으로 알려졌습니다 . 토큰 부분은 개발 과정에서 화합물 V2의 코드를 인용했을 수 있으며, 이는 포크로 간주됩니다. 화합물 V2의. 하지만 당시 컴파운드 V2의 코드는 정확도 문제가 있었다. 이후 컴파운드 자체에서 관련 문제를 수정했지만, 이에 앞서 포크된 프로젝트들도 관련 문제를 피할 수는 없었다.
이후 오닉스 프로토콜 탈취 과정에 대해 오데일리 플래닛 데일리는 계속해서 주목을 아끼지 않을 예정이다.
