DeFi-Katastrophe: Onyx-Protokoll verliert 3,8 Millionen Dollar bei zweitem Hack durch bekannte Schwachstelle

DeFi-Katastrophe: Onyx-Protokoll verliert 3,8 Millionen Dollar bei zweitem Hack durch bekannte Schwachstelle

Von
Michel Michael
4 Minuten Lesezeit

Onyx-Protokoll erleidet DeFi-Hack von 3,8 Millionen Dollar durch bekannte Codeanfälligkeit

Am Donnerstag wurde das Onyx-Protokoll, eine dezentrale Finanzierungsplattform (DeFi) und ein Fork von Compound Finance, gehackt, was zu einem Verlust von 3,8 Millionen Dollar führte. Die Angreifer nutzten ein bekanntes Präzisionsproblem im Code des Protokolls aus, das speziell von dem Compound V2-Code geerbt wurde. Durch Manipulation nahezu leerer Märkte konnten sie die Wechselkursraten künstlich anheben und Millionen in verschiedenen Kryptowährungen abziehen.

Die Sicherheitsfirmen PeckShield und Cyvers entdeckten und berichteten über die verdächtigen Transaktionen. Zunächst schätzten sie den Verlust auf 3,2 Millionen Dollar, aktualisierten ihn später auf 3,8 Millionen Dollar. Zu den gestohlenen Vermögenswerten gehören:

  • 4,1 Millionen VUSD
  • 7,35 Millionen XCN
  • 5.000 DAI
  • 0,23 WBTC
  • 50.000 USDT

Dieser Angriff spiegelt einen früheren Vorfall im selben Protokoll im Oktober 2023 wider, bei dem 2,1 Millionen Dollar durch eine ähnliche Anfälligkeit aufgrund von Rundungsfehlern im Code verloren gingen.

Wer ist beteiligt?

  • Onyx-Protokoll: Eine DeFi-Plattform, die es Nutzern ermöglicht, Kryptowährungen zu verleihen und zu leihen.
  • Angreifer: Unidentifizierte Hacker, die die Codeanfälligkeit ausnutzten.
  • PeckShield und Cyvers: Web3-Sicherheitsfirmen, die den Hack entdeckten und berichteten.
  • Hexagate: Eine Sicherheitsfirma, die Empfehlungen zur Vermeidung solcher Angriffe gab.

Wo und Wann geschah es?

  • Datum: Der Angriff fand an einem Donnerstag statt (konkretes Datum nicht angegeben).
  • Ort: Da es sich um ein DeFi-Protokoll handelt, geschah der Vorfall im Blockchain-Netzwerk, auf dem das Onyx-Protokoll arbeitet.

Warum und wie geschah es?

Die Angreifer nutzten ein Präzisionsproblem im abgeleiteten Compound V2-Code aus und zielten dabei auf nahezu leere Märkte, um die Wechselkurse zu manipulieren. Diese Anfälligkeit stammt von Rundungsfehlern im Code, die manipuliert werden können, wenn das Gesamtangebot in einem Markt nahe null ist. Durch das Ausnutzen dieses Fehlers konnten die Angreifer mehr Vermögenswerte abheben, als sie eingezahlt hatten.

Wichtige Erkenntnisse

  • Ausnutzung bekannter Anfälligkeiten: Der Angriff nutzte ein bekanntes Präzisionsproblem im Compound V2-Code aus und zeigt die Risiken auf, die mit der Übernahme von Anfälligkeiten beim Forken von Code verbunden sind.
  • Bedeutender finanzieller Verlust: Das Onyx-Protokoll verlor 3,8 Millionen Dollar, wobei erhebliche Verluste in VUSD-Stablecoin zu verzeichnen waren, was die finanziellen Risiken zeigt, die mit DeFi-Protokollen verbunden sind.
  • Wiederholte Angriffe: Dies ist der zweite große Hack des Onyx-Protokolls im Jahr 2023 und weist auf anhaltende Sicherheitsprobleme und einen Mangel an angemessenen präventiven Maßnahmen hin.
  • Wichtigkeit von Sicherheitsprüfungen: Der Vorfall verdeutlicht die Notwendigkeit gründlicher Sicherheitsprüfungen und der Aufsicht durch die Gemeinschaft in DeFi-Projekten.
  • Breitere Auswirkungen auf DeFi: Der Hack ist Teil einer Serie von Angriffen in der Kryptoindustrie und zeigt die fortwährende Herausforderung, DeFi-Protokolle gegen bekannte Anfälligkeiten abzusichern.

Tiefenanalyse

Unterliegende Anfälligkeiten

Der Hack des Onyx-Protokolls ist eine deutliche Erinnerung an die inhärenten Risiken im DeFi-Ökosystem, besonders wenn Protokolle auf forked code ohne Behebung vorhandener Anfälligkeiten aufgebaut werden. Die Angreifer nutzten ein Präzisionsproblem aus – eine Anfälligkeit, die bereits bekannt war und in früheren Angriffen auf andere Protokolle wie Hundred Finance und Midas Capital ausgenutzt wurde.

Präzisionsproblem im Compound V2-Code
  • Rundungsfehler: Die Anfälligkeit entsteht durch Rundungsfehler im Code, die manipuliert werden können, wenn das Gesamtangebot in einem Markt nahe null ist.
  • Leere Märkte: Angreifer zielen auf nahezu leere Märkte, um die Wechselkurse künstlich zu erhöhen, was ihnen ermöglicht, mehr Vermögenswerte abzuheben, als sie eingezahlt haben.
Mangelnde Gemeinschaftsaufsicht
  • Minimale Beteiligung an der Governance: Vorschlag 22, der den anfälligen PEPE-Kreditmarkt schuf, erhielt nur minimale Unterstützung aus der Gemeinschaft, mit lediglich 11 Stimmen von größtenteils einer Adresse.
  • Ignorierte Sicherheitsempfehlungen: Sicherheitsfirmen rieten dazu, cTokens zu minten und zu verbrennen, wenn neue Märkte gestartet werden, um sicherzustellen, dass das Gesamtangebot nie null erreicht – eine Empfehlung, die offenbar übersehen wurde.

Präventions- und Minderungsstrategien

Hexagate, eine Sicherheitsfirma, empfiehlt folgende Maßnahmen:

  1. Minting und Burning von cTokens: Wenn neue Märkte gestartet werden, sollte sichergestellt werden, dass das Gesamtangebot nie null erreicht, um Manipulationen der Wechselkurse zu verhindern.
  2. Beteiligung der Gemeinschaft: Die Beteiligung der Gemeinschaft an der Governance erhöhen, um die Aufsicht und Kontrolle neuer Vorschläge zu verbessern.
  3. Regelmäßige Sicherheitsprüfungen: Gründliche und regelmäßige Sicherheitsprüfungen durchführen, insbesondere bei Forks von Code aus anderen Projekten.
  4. Implementierung von Multi-Layer-Sicherheitsprotokollen: Multisignatur-Wallets und Zwei-Faktor-Authentifizierung verwenden, um zusätzliche Sicherheitsschichten hinzuzufügen.

Breitere Auswirkungen auf die DeFi-Industrie

Der Angriff auf das Onyx-Protokoll verdeutlicht mehrere wichtige Themen:

  • Risiken von Forked Code: Das Übernehmen von Code ohne Behebung vorhandener Anfälligkeiten kann Sicherheitsfehler über mehrere Plattformen verbreiten.
  • Bedarf an verbesserten Sicherheitsmaßnahmen: Mit dem Wachstum von DeFi steigen auch die Anforderungen an die Sophistication von Angriffen, was robustere Sicherheitsprotokolle erforderlich macht.
  • Wichtigkeit der Gemeinschaftsgovernance: Die aktive Beteiligung der Gemeinschaft ist entscheidend für die frühzeitige Erkennung und Verhinderung möglicher Anfälligkeiten.
  • Herausforderungen bei Open-Source-Code: Während Open-Source-Innovationen fördert, bedeutet es auch, dass Anfälligkeiten transparent sind und ausgenutzt werden können, wenn sie nicht ausreichend behoben werden.

Wussten Sie schon?

  • Risiken von Open-Source: Während Open-Source-Code eine schnelle Entwicklung und Innovation ermöglicht, können Anfälligkeiten auch auf mehrere Projekte übertragen werden, wenn die ursprünglichen Fehler nicht behoben werden.
  • DeFi-Hacks im Jahr 2023: Der Hack des Onyx-Protokolls kommt zu einer wachsenden Liste von DeFi-Hacks im Jahr 2023, bei denen Angreifer Schwachstellen in Smart Contracts ausnutzen, um Millionen zu stehlen.
  • Wichtigkeit von cTokens: cTokens sind Zinsen tragende Token, die in Compound-basierten Protokollen verwendet werden. Der richtige Umgang mit cTokens ist entscheidend, um Anfälligkeiten wie die im Onyx-Hack zu verhindern.
  • Gemeinschaftsgovernance: DeFi-Protokolle sind oft auf die Gemeinschaftsgovernance für Entscheidungsfindung angewiesen. Eine geringe Beteiligung kann zu unkontrollierten Vorschlägen führen, die Sicherheitsrisiken einführen können.
  • Rolle der Sicherheitsfirmen: Firmen wie PeckShield und Cyvers spielen eine kritische Rolle bei der Entdeckung und Meldung verdächtiger Aktivitäten, was hilft, die Auswirkungen von Hacks zu mindern.

Der Verlust von 3,8 Millionen Dollar beim Onyx-Protokoll dient als eindringliche Erinnerung an die dringende Notwendigkeit verbesserter Sicherheitsprotokolle und einer wachsamen Gemeinschaftsaufsicht in der sich schnell entwickelnden DeFi-Landschaft. Während die Branche weiter reift, wird es entscheidend sein, Sicherheit und robuste Governance zu priorisieren, um Vermögenswerte zu schützen und das Vertrauen der Nutzer zu erhalten.

Das könnte Ihnen auch gefallen

Dieser Artikel wurde von unserem Benutzer gemäß den Regeln und Richtlinien für die Einreichung von Nachrichten. Das Titelbild ist computererzeugte Kunst nur zu illustrativen Zwecken; nicht indikativ für den tatsächlichen Inhalt. Wenn Sie glauben, dass dieser Artikel gegen Urheberrechte verstößt, zögern Sie bitte nicht, dies zu melden, indem Sie uns eine E-Mail senden. Ihre Wachsamkeit und Zusammenarbeit sind unschätzbar, um eine respektvolle und rechtlich konforme Community aufrechtzuerhalten.

Abonnieren Sie unseren Newsletter

Erhalten Sie das Neueste aus dem Unternehmensgeschäft und der Technologie mit exklusiven Einblicken in unsere neuen Angebote