Protokol DeFi Onyx terkena eksploitasi senilai $3,2 juta, menandai serangan kedua dalam setahun

Onyx, sebuah fork dari protokol pinjaman DeFi Compound Finance, terkena serangan senilai $3,2 juta pada hari Kamis, menandai kedua kalinya kontrak pintar protokol tersebut dieksploitasi selama setahun terakhir. 

Menurut perusahaan keamanan Fuzzland, kontrak berbahaya dideploy ke Onyx pada pukul 11:57 pagi, sekitar lima menit sebelum serangan terjadi. Perusahaan keamanan saingan PeckShield dan Cyvers juga memperhatikan transaksi mencurigakan di OnyxDAO, sebelum peretasan terjadi. 

Cyvers mencatat sebagian besar kerugian terjadi pada VUSD, stablecoin yang didenominasikan dalam dolar AS. Penyerang yang dicurigai juga memegang 521 ETH senilai sekitar $1,36 juta dan, menurut Cyvers, ragu-ragu untuk menukar aset yang dicuri tersebut. 

Menurut PeckShield, yang memperkirakan kerugian mendekati $3,8 juta, penyerang menyerang bug yang diketahui dalam basis kode Compound V2 yang di-fork dan berhasil menyedot VUSD, DAI, dan stablecoin tether, di antara mata uang kripto lainnya. 

“Masalah lain yang memfasilitasi peretasan terkait dengan kontrak NFTLiquidation, yang tidak memvalidasi input pengguna (tidak terpercaya) dengan benar dan dieksploitasi untuk menggelembungkan jumlah hadiah likuidasi sendiri,” tulis Peckshield di X.

Oktober lalu, Onyx mengalami serangan senilai $2,1 juta yang mengeksploitasi kerentanan pembulatan integer dan serangan pinjaman kilat. 

"Tahun lalu disebabkan oleh kerentanan yang diperkenalkan ketika mereka mem-fork kode Compound yang dikompromikan. Kali ini mereka memperkenalkan kerentanan sendiri melalui kesalahan dalam logika mereka," kata pendiri Fuzzland Chaofan Shou kepada The Block dalam sebuah pesan.