Onyx Protocol - Rekt II

Onyx Protocol, otro fork de Compound v2 que simplemente no logra salir adelante, ha sido explotado nuevamente.

Esta vez, el daño asciende a $3.8 millones, extraídos por la misma vulnerabilidad de alto perfil que los afectó a finales del año pasado.

Es una repetición que nadie pidió, con los sospechosos habituales: un bug conocido, un mercado recién agregado y un equipo aparentemente incapaz de aprender de sus errores pasados.

El exploit, ejecutado con la precisión de un chef experimentado siguiendo una receta, drenó un buffet de activos, incluyendo VUSD, XCN, DAI, WBTC y USDT.

Onyx se encuentra en el lamentable "club del tonto por segunda vez", demostrando que en DeFi, el rayo sí puede caer dos veces en el mismo lugar, especialmente si estás sosteniendo una varilla de metal en una tormenta.

En el gran tapiz de desastres DeFi, ¿está Onyx tejiendo una obra maestra o solo enredándose en sus propios nudos?

En un giro predecible, Onyx Protocol decidió tomarse el "doble o nada" un poco demasiado en serio.

Mientras los cripto-enthusiastas debatían sobre la próxima memecoin, Cyvers interrumpió la fiesta:

"Nuestro sistema ha detectado una transacción sospechosa en Onyx DAO en la cadena de ETH. La pérdida total es de unos $3.8M."

El equipo de Onyx tardó 4 horas en romper su silencio:

"Onyx Protocol está al tanto de la actividad inusual en nuestra plataforma y actualmente estamos revisando datos post-mortem de terceros mientras llevamos a cabo nuestra propia investigación."

Pero para entonces, la caja fuerte digital ya había sido abierta, y su contenido esparcido por los vientos del blockchain.

Los detectives del blockchain reconstruyeron la escena del crimen y se encontraron viendo una repetición: "Manipulación Precisa: Edición Onyx".

Hacken, como el CSI de DeFi, explicó el ataque.

Nuestro hacker, amante de las secuelas, siguió un guion ya conocido:

Tomó prestados 2K ETH mediante un préstamo flash de Balancer.

Jugó al escondite con ETH: depositó 1,999.5 ETH en el contrato oEther, mientras desvió 0.5 ETH a un contrato malicioso.

Usó este contrato personalizado para mintear y redimir oETH en cantidades ridículamente pequeñas. Estamos hablando de 0.00000001 oETH.

Repitió este ciclo 56 veces, explotando la vulnerabilidad de cálculo de tasas de intercambio con precisión quirúrgica.

Este ataque explotó un bug en el cálculo de tasas cuando hay baja liquidez.

Es como si Onyx hubiera dejado la puerta abierta con un cartel de "Dinero Gratis" y se hubiera ido de vacaciones.

Dirección del atacante:
0x680910cf5Fc9969A25Fd57e7896A14fF1E55F36B

Transacción del ataque:
0x46567c731c4f4f7e27c4ce591f0aebdeb2d9ae1038237a0134de7b13e63d8729

Contrato del ataque:
0xAE7d68b140Ed075E382e0A01d6c67ac675AFa223

Pero eso no es todo. El hacker también aprovechó una falla en el contrato NFTLiquidation, que no validaba correctamente la entrada del usuario.

Esto les permitió inflar la recompensa de auto-liquidación, dándoles esencialmente un cheque en blanco.

Resultado final según Peckshield:

4.1M VUSD

7.35M XCN

5K DAI

0.23 WBTC

50K USDT

En total, un pago de $3.8M para el hacker, y otra lección dolorosa para Onyx Protocol.

Una lección que ya habían aprendido... y aparentemente olvidado.

En el mundo de Pokémon, Onix evoluciona en Steelix, haciéndose más fuerte.

Pero en DeFi, Onyx Protocol parece atrapado en un estado de vulnerabilidad perpetua.

A pesar de los numerosos golpes, Onyx sigue sin aprender una nueva estrategia.

CertiK auditó Onyx en enero de 2022, y desde entonces: radio silencio. Sin actualizaciones. Es como si Onyx creyera que los contratos inteligentes mejoran con el tiempo. No es así.

Onyx agregó un mercado de VUSD sin una nueva auditoría.

Aparentemente, su idea de seguridad es ignorar vulnerabilidades mientras introducen nuevos problemas.

En el mundo DeFi, la innovación está superando al sentido común, o tal vez el sentido común está en un almuerzo muy largo.

Esta historia ya la hemos visto antes.

La vulnerabilidad real está en las condiciones del mercado, no solo en el código.

Recuerda: los mercados vacíos son imanes para hackers.

Lanzar nuevos mercados debería manejarse con cuidado, no con una actitud de "yolo y suerte".

Después del hackeo a Hundred Finance, Hexagate ofreció este consejo:

"Mintea algunos cTokens, quémalos, y asegúrate de que la oferta nunca llegue a cero."

Pero parece que Onyx no escuchó.

En el gran teatro de DeFi, Onyx ha convertido "una vez mordido, dos veces tímido" en "dos veces mordido, aún sin aprender."

¿Quién está escribiendo las reglas en DeFi? Y más importante, ¿quién las está leyendo?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.