Onyx Protocol 駭客賺太多！竟給三名「加密乞丐」打賞23.9枚ETH

Onyx Protocol 昨日因安全漏洞—四捨五入問題（rounding issue）遭受攻擊，造成超過 1,160 枚 ETH（相當於 210 萬美元）的資金損失。團隊表示立即封鎖了該漏洞，並確認了未影響到與 XCN 代幣相關的鏈上資產，最新消息公布其正在制定補償計畫，將提案動用 Onyx DAO 價值 4000 萬美元的 XCN 代幣資金池，以保障受駭客攻擊影響的用戶獲得相應的賠償。值得一提的是，經鏈上數據分析發現，攻擊者向三名「乞討者」送出了共 23.9 枚 ETH。
（背景補充：今年最大竊案！Euler奇蹟收回2億鎂，19歲駭客的魔鬼與天使）

本文目錄

去中心化借貸協議 Onyx Protocol 昨（1）日遭受攻擊，被竊取 1164.5 枚 ETH，等值約 210 萬美元。根據區塊鏈安全公司 PeckShield 調查指出，這次的攻擊利用的是一個已知的漏洞，即四捨五入問題（rounding issue）。

駭客攻擊手法

「四捨五入問題」指的是在區塊鏈借貸協議的實作中，由於固定位數限制，可能會導致資產計算上的小數點後的數值在某些操作中被不恰當地四捨五入，這可能會在計算利息或者交易分割時造成微小的資金損失或增益。在複雜的金融交易中，這種看似微不足道的問題將會被累積起來造成重大影響，如同這次 Onyx Protocol 損失的 210 萬美元。

The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.

Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E

— PeckShield Inc. (@peckshield) November 1, 2023

具體來說，駭客攻擊的方式如下：

首先，oPEPE 市場（這是一個代幣市場）在沒有任何流動性（即沒有資金或其他資產支持交易）的情況下被部署了。
在這個空的市場中，駭客透過捐贈資金的方式，使得 oPEPE 市場得以在其他有流動性的市場上借款。
駭客然後利用已知的四捨五入問題，從這個市場贖回了捐贈的資金。

簡而言之，這次攻擊利用了一個故意留空的市場，透過捐贈資金創造了借款的假象，並透過四捨五入的漏洞來盜取更多的資金。

團隊表示安全無虞與補償計畫

攻擊發生後，Onyx 協議團隊表示他們已經掌握了事態發展，立即封鎖了該漏洞，並確認了這次的漏洞並未影響到 XCN 代幣及其合約、XCN 的質押池，以及 Uniswap 上的交易池，這些部分都是安全的。

最新進展公布了 Onyx 協議團隊正在制定補償計畫，他們將提案動用 Onyx DAO 價值 4000 萬美元的 XCN 代幣資金池，從該資金池中出售 XCN 代幣，用於直接賠償受駭客攻擊影響的用戶。

The @OnyxProtocol experienced an exploit: https://t.co/4feaaEipfF. Fund loss is 1,163.53 ETH ~$2.1mln.
We are aware of the situation, closed the vulnerability, and working on the consequences with our partners.

— Alex Onyx (@al_onyxprotocol) November 1, 2023