Noticias
El protocolo Onyx pierde 2,1 millones de dólares tras la última violación de seguridad
- El exploit expuso un error conocido relacionado con una bifurcación popular de CompoundV2
- Esta no era la primera vez que este error en particular se utilizaba en un ataque.
El 27 de octubre, la plataforma descentralizada de préstamos entre pares Onyx Protocol fue víctima de un importante exploit, que resultó en la pérdida de aproximadamente 2,1 millones de dólares. Este exploit expuso un error conocido relacionado con una popular bifurcación CompoundV2, una vulnerabilidad que ya había sido aprovechada en otro ataque en abril.
El investigador de blockchain, PeckShield, llamó la atención sobre esta violación de seguridad y el error subyacente. A pesar del potencial de devastación financiera, este evento pasó desapercibido para el protocolo.
Un atacante aprovechó un conocido problema de redondeo en el protocolo Onyx para robar 2,1 millones de dólares.
El hackeo del Protocolo Onyx fue el resultado de un conocido problema de redondeo en la popular bifurcación CompoundV2. El atacante aprovechó este problema para robar 2,1 millones de dólares del mercado oPEPE, que se había implementado justo…
— Polizoos (@Polyzoa_xyz) 1 de noviembre de 2023
La violación de seguridad se centró en un mercado oPEPE en el Protocolo Onyx, que padecía un déficit de liquidez. El atacante aprovechó esta vulnerabilidad, aprovechando el déficit de liquidez del mercado y un conocido problema de redondeo. El ataque se inició realizando donaciones para pedir prestado fondos de otros mercados con mayor liquidez, desviando estos fondos adquiridos al comprometido mercado oPEPE.
Una vez en este mercado, los malos actores explotaron el problema del redondeo, haciendo posible canjear los fondos donados y beneficiarse del hack.
Error familiar, víctima diferente
Sorprendentemente, esta no era la primera vez que este error en particular se utilizaba en un ataque. En abril, un atacante aprovechó de manera similar esta vulnerabilidad para robar 7 millones de dólares de Hundred Finance, un protocolo de préstamos multicadena. El ataque anterior, que afectó a Hundred Finance, implicó la manipulación del tipo de cambio entre los tokens ERC-20 y hTOKENS. Esta manipulación permitió al atacante retirar más tokens de los que había depositado inicialmente.
El sector criptográfico se ha convertido últimamente en sinónimo de hacks. El 31 de octubre, informes reveló
ese UniBot [UNIBOT] sufrió un incidente de piratería. El equipo atribuyó el ataque a un exploit de aprobación de token dentro de su nuevo enrutador. Esto provocó una suspensión temporal en respuesta a la infracción. Posteriormente, el equipo aseguró a los usuarios que reembolsarían los fondos perdidos en el hack.
Esta es una traducción automática de nuestra versión en inglés.