Onyx Protocol pierde $3,8 millones en hack prevenible

Onyx Protocol, un fork de Compound Finance, sufrió una pérdida de 3,8 millones de dólares el jueves, marcando otra entrada en una serie de ataques mientras los actores maliciosos exploran la vulnerabilidad del sistema.

Los hacks continúan afectando a la industria cripto, destacando la necesidad de mejorar la seguridad.

Hack de $3,8 millones impacta a Onyx Protocol

La firma de seguridad blockchain PeckShield destacó transacciones sospechosas en OnyxDAO, llamando la atención sobre un posible ataque al protocolo. En una publicación de seguimiento, el detective on-chain reveló pérdidas que alcanzaron los 3,8 millones de dólares, indicando que el hacker ya estaba intercambiando los fondos.

La firma de seguridad Web3 Cyvers corroboró el incidente, citando transacciones sospechosas que involucraban a OnyxDAO en la blockchain de Ethereum. Según Cyvers, la mayoría de la pérdida fue en stablecoin VUSD:

Leer más: Conoce los 10 hacks de criptomonedas más importantes en 2022

“Nuestro sistema ha detectado una transacción sospechosa que involucra a OnyxDAO en la cadena ETH! La pérdida total es de aproximadamente 3.2 millones de dólares [en ese momento]. La mayoría de las pérdidas están en VUSD. El atacante actualmente posee 521 ETH (1.36 millones de dólares). El resto de los activos digitales aún no se han intercambiado,” escribió Cyvers.

Investigaciones adicionales de PeckShield revelaron que el hacker aprovechó un problema de precisión conocido presentado como un bug en la base de código de Compound V2 forked. Luego desviaron 4,1 millones de VUSD, 7.35 millones de XCN, 5,000 DAI, 0.23 WBTC y 50,000 USDT. Reportadamente, el bug aprovechó un mercado casi vacío para manipular la tasa de cambio.

Notablemente, los hackers utilizaron el mismo enfoque en octubre de 2023, hackeando el mismo protocolo por 2,1 millones de dólares. En el incidente de octubre, la vulnerabilidad fue un error de redondeo. En ese momento, los investigadores atribuyeron la vulnerabilidad a que Onyx Protocol era un fork de Compound Finance.

Cómo ocurre la vulnerabilidad del código

Con muchos protocolos DeFi siendo de código abierto, los desarrolladores tienden a evitar el enfoque largo. Optan por construir a partir de un código existente en lugar de implementar funcionalidades desde cero. Este enfoque es considerado popular ya que puede mejorar la eficiencia y la seguridad cuando se hace correctamente.

La desventaja es que si el código de plantilla no es seguro, el fork puede heredar las vulnerabilidades:

“En el caso del protocolo Onyx, el código de Compound Finance que utilizó tenía una vulnerabilidad conocida que ya había sido explotada en Hundred Finance y Midas Capital, que también hicieron fork del código de Compound Finance. Sin embargo, el Protocolo Onyx utilizó el mismo código y carecía del apoyo comunitario y la vigilancia necesarios para prevenir que la vulnerabilidad fuera explotada,” informó la firma de seguridad Halborn.

Leer más: Estafas con Bitcoin y minería de criptomonedas: ¿Cómo evitarlas?

Esto significa que el hack de Onyx Protocol podría haberse prevenido, dado la prevalencia de errores de redondeo. Notablemente, ya existe una guía cuando se lanzan nuevos mercados en Compound Finance y sus forks:

“En Hexagate, recomendamos que cualquier fork de Compound V2, al lanzar nuevos mercados, acuñe algunos cTokens y los queme para asegurarse de que el suministro total nunca llegue a cero. Cuando el suministro total llega a cero, el protocolo se vuelve vulnerable y esta estrategia mitiga esta situación,” guió la firma de seguridad Hexgate aquí en abril de 2023.

Estos incidentes, incluyendo un hack de 4,6 millones de dólares aquí a la infraestructura descentralizada Truflation el miércoles, reflejan el desafío prevalente en la industria cripto, donde los actores maliciosos utilizan diferentes mecanismos para robar activos digitales.