Onyx 协议第二次被利用，通过已知漏洞获利 380 万美元

根据区块链安全平台Peck Shield的一份报告，去中心化金融（DeFi）协议Onyx于9月26日被利用，价值380万美元。该漏洞利用了 Compound Finance v2 代码库中的一个已知漏洞，而该漏洞此前已在 11 月 1 日被用于利用 Onyx。报告称，NFT 清算合约中的一个漏洞也促成了这次漏洞利用。

在 9 月 27 日的 X 帖子中，Onyx 团队声称有问题的 NFT 合同是漏洞利用的根本原因。

根据 Peck Shield 的报告，410 万虚拟美元（VUSD）、735 万 Onyxcoin（XCN）、0.23 Wrapped Bitcoin（WBTC）、价值 5,000 美元的 Dai（DAI）稳定币和价值 50,000 美元的 Tether（USDT）稳定币从协议中被清空，损失总额超过 380 万美元。

已知的漏洞存在于 Compound Finance 的第 2 版中，这是一个经常被去中心化金融协议分叉和使用的代码库。2023 年 4 月，Hundred Finance 利用了该漏洞。11 月，该漏洞首次被用于攻击 Onyx。

相关： Onyx 协议遭遇价值 210 万美元的 Hundred Finance 山寨版攻击

该漏洞只有在 "空市场 "或没有流动性的市场存在时才能被利用，通常只有在新市场启动时才会出现这种情况。

Onyx 团队在一篇 X 帖子中承认了这一漏洞。"它表示："Onyx 协议发生了一起安全事件，一个邪恶的行为者利用该协议从协议中抽走了 VUSD。不过，该团队声称，已知漏洞并非主要原因。"主要问题不是空头市场，而是 NFTLiquidation 合同。

Peck Shield 也认为，NFT 合同是 "另一个促成黑客攻击的问题"。有问题的合约允许攻击者 "夸大自我清算奖励金额"，因为它没有 "正确验证（不受信任的）用户输入"。

DeFi 漏洞是 Web3 用户常见的损失来源。9 月 27 日，由于其 uniBTC 合约存在漏洞，液体定注协议 Bedrock 损失了 200 多万美元。9 月 23 日，Bankroll Network 因攻击者利用有问题的 "buyFor "功能进行多次自我转账以夸大利润，损失了 23 万美元。