O protocolo DeFi Onyx sofreu um segundo ataque em menos de um ano, resultando na perda de US$ 3,8 milhões em ativos digitais.
O ataque foi causado por uma vulnerabilidade conhecida no código da Compound Finance v2, que já havia sido explorada anteriormente, combinada com uma falha em um contrato de liquidação de NFTs, segundo a empresa de segurança blockchain PeckShield.
- Leia também: CZ da prisão leva alta de 2% ao BNB e vai impsulionar bull run no Bitcoin, diz analista
Detalhes do ataque e falhas exploradas
O ataque ocorreu em 26 de setembro e envolveu a drenagem de 4,1 milhões de VUSD, 7,35 milhões de Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), além de montantes menores de DAI e USDT.
A vulnerabilidade conhecida no código da Compound v2, que é frequentemente replicado por protocolos DeFi, permite a exploração de mercados ‘vazios’, onde não há liquidez, situação comum em mercados recém-lançados.
Embora a Onyx tenha reconhecido a exploração, a equipe argumentou que o principal problema estava no contrato de liquidação de NFTs, que não validava corretamente as entradas de usuários, permitindo que o invasor inflasse a recompensa de auto-liquidação.
Abra Sua Conta na BingX
Essa falha específica permitiu que o atacante aproveitasse um erro de validação para obter ganhos indevidos.
Impacto e resposta do Onyx
Este é o segundo ataque significativo ao Onyx em 2024, evidenciando as vulnerabilidades persistentes em protocolos que utilizam versões antigas de códigos replicados. A equipe do Onyx comunicou que está trabalhando para reforçar a segurança e evitar futuros incidentes, enquanto a comunidade de DeFi continua a enfrentar desafios com exploits recorrentes.
O caso do Onyx destaca a importância de auditorias contínuas e atualizações de segurança em protocolos DeFi, especialmente para aqueles que utilizam códigos replicados de outras plataformas.
A necessidade de validações de entrada robustas e controles de segurança mais rigorosos se torna cada vez mais evidente à medida que o setor continua a evoluir e atrair participantes mal-intencionados.