DeFi borç verme protokolü Compound Finance’in fork’u Onyx, 3,2 milyon dolarlık bir saldırıya maruz kaldı. Bu saldırı, protokolün akıllı sözleşmesinin son bir yılda ikinci kez istismar edilmesi anlamına geliyor.
Siber güvenlik firması Fuzzland’e göre kötü niyetli bir sözleşme, saldırıdan beş dakika önce Onyx’e aktarıldı. Rakip güvenlik firmaları PeckShield ve Cyvers da saldırı öncesinde OnyxDAO’da şüpheli işlemler fark etti.
Cyvers, kayıpların çoğunun ABD doları destekli stablecoin olan VUSD’da gerçekleştiğini belirtti. Saldırganın aynı zamanda yaklaşık 1,36 milyon dolar değerinde 521 ETH’e sahip olduğu ve çalınan varlıkları henüz değiştirme girişiminde bulunmadığı belirtildi.
PeckShield ise kaybın 3,8 milyon dolara daha yakın olduğunu belirterek, saldırganın, Onyx’in fork ettiği Compound V2 kod tabanındaki bilinen bir hatayı istismar ettiğini ve VUSD, DAI, USDT gibi stablecoin’lerin yanı sıra diğer kripto paraları da sızdırabildiğini açıkladı.
PeckShield, X platformunda yaptığı açıklamada, “Saldırıyı kolaylaştıran bir başka sorun da, güvenilmeyen kullanıcı girdilerini doğru şekilde doğrulamayan NFTLiquidation sözleşmesiyle ilgili. Bu hata, kendi kendine tasfiye ödül miktarını şişirmek için istismar edildi” ifadelerini kullandı.
Geçen yıl Ekim ayında Onyx, bir tam sayı yuvarlama hatası ve flash loan saldırısı kullanılarak gerçekleştirilen 2,1 milyon dolarlık bir saldırıya uğramıştı. Fuzzland’in kurucusu Chaofan Shou, “Geçen yılki saldırı, fork edilen Compound kodundaki bir güvenlik açığından kaynaklanıyordu. Bu sefer ise kendi mantık hataları nedeniyle kendileri bir güvenlik açığı oluşturdu” dedi.