Протокол децентрализованных финансов (DeFi) Onyx стал жертвой атаки. В результате взлома злоумышленники вытащили $2,1 млн. На это указали аналитики специализирующейся на блокчейн-безопасности фирмы PeckShield.
Что произошло
Хакер взял флэш-кредит в ETH, обменял займ на oPEPE, который был развернут в протоколе пять дней назад, и передал в другой пул. Таким образом ему удалось расшатать внутреннюю цену обмена монеты. В результате злоумышленник вывел намного больше средств, чем должен был.
Факт взлома также подтвердили эксперты CertiK. Они написали, что уязвимость связана с проблемой округления в форках CompoundV2. Она была описана в аудите и признана командой Onyx.
Согласно PeckShield, сейчас на кошельке киберпреступника хранится 1 164 ETH (около $2,1 млн). Из них 1 130 ETH он перевел на криптомиксер Tornado Cash.
Команда протокола написала, что предотвратила уязвимость и работает над последствиями.
Похожий взлом
Аналитики также отметили, что хак протокола Onyx похож на взлом Hundred Finance. В апреле этого года злоумышленники нацелились на пулы в L2-сети Optimism и похитили $7,4 млн.
Схема была примерно такой же: хакер пожертвовал 200 WBTC, поднял цену hWBTC, занял крупную позицию по новому курсу и выкупил первоначально внесенную сумму. Таким образом он слил кредитные пулы с помощью крошечной суммы в 2 Wei.
Сегодня взлому также подвергся DeFi-протокол Frax Finance. Злоумышленники перехватили домен Frax Finance и перенаправляли пользователей на фишинговые страницы.
