Onyx Protocol Kehilangan US$3,8 Juta dalam Peretasan yang Bisa Dicegah


Onyx Protocol, cabang dari Compound Finance, mengalami kerugian sebesar US$3,8 juta pada hari Kamis, menandai serangan lain dalam serangkaian serangan saat pelaku jahat mengeksplorasi kerentanan sistem.

Serangan siber terus mengganggu industri aset kripto, menyoroti kebutuhan akan keamanan yang lebih baik.

Serangan US$3,8 Juta Menimpa Onyx Protocol

Firma keamanan blockchain PeckShield menyoroti transaksi mencurigakan pada OnyxDAO, menarik perhatian pada serangan yang mungkin terjadi pada protokol tersebut. Dalam postingan lanjutan, detektif rantai tersebut mengungkapkan kerugian mencapai US$3,8 juta, menunjukkan bahwa peretas sudah menukar dana tersebut.

Onyx Protocol Hack
Peretasan Onyx Protocol. Sumber: PeckShield

Firma keamanan Web3 Cyvers membenarkan insiden tersebut, mengutip transaksi mencurigakan yang melibatkan OnyxDAO di blockchain Ethereum. Menurut Cyvers, sebagian besar kerugian adalah dalam bentuk stablecoin VUSD.

“Sistem kami telah mendeteksi transaksi mencurigakan yang melibatkan OnyxDAO di rantai ETH! Total kerugian sekitar US$3,2 juta [pada saat itu]. Sebagian besar kerugian adalah dalam VUSD. Peretas saat ini memiliki 521 ETH (US$1,36 juta). Aset digital lainnya belum ditukar,” tulis Cyvers di sini.

Baca lebih lanjut: Keamanan Proyek Aset Kripto: Panduan untuk Deteksi Ancaman Dini

Investigasi tambahan oleh PeckShield mengungkapkan bahwa penyerang memanfaatkan masalah presisi yang dikenal sebagai bug dalam basis kode Compound V2 yang difork. Mereka kemudian menyedot 4,1 juta VUSD, 7,35 juta XCN, 5.000 DAI, 0,23 WBTC, dan 50.000 USDT. Dilaporkan, bug tersebut memanfaatkan pasar yang hampir kosong untuk memanipulasi nilai tukar.

Yang menarik, peretas menggunakan pendekatan yang sama pada Oktober 2023, meretas protokol yang sama sebesar US$2,1 juta. Dalam insiden Oktober, kerentanan adalah kesalahan pembulatan. Saat itu, para peneliti mengaitkan kerentanan dengan Onyx Protocol yang merupakan cabang dari Compound Finance.

Bagaimana Kerentanan Kode Terjadi

Dengan banyaknya protokol DeFi yang bersifat open-source, pengembang cenderung menghindari pendekatan panjang. Mereka memilih untuk membangun dari kode yang sudah ada daripada mengimplementasikan fungsionalitas dari awal.

Pendekatan ini dianggap populer karena dapat meningkatkan efisiensi dan keamanan jika dilakukan dengan benar. Namun, kekurangannya adalah jika kode templat tidak aman, cabang tersebut dapat mewarisi kerentanan.

“Dalam kasus protokol Onyx, kode Compound Finance yang digunakan memiliki kerentanan yang dikenal yang telah dieksploitasi di Hundred Finance dan Midas Capital, yang juga mencabangkan kode Compound Finance. Namun, Protokol Onyx menggunakan kode yang sama dan kekurangan dukungan serta kewaspadaan komunitas yang diperlukan untuk mencegah kerentanan tersebut dieksploitasi,” laporkan firma keamanan Halborn di sini.

Ini berarti peretasan Protokol Onyx sebenarnya bisa dicegah, mengingat prevalensi kesalahan pembulatan. Secara khusus, panduan sudah ada saat meluncurkan pasar baru di Compound Finance dan cabang-cabangnya.

“Di Hexagate, kami merekomendasikan setiap cabang Compound V2, saat meluncurkan pasar baru untuk mencetak beberapa cTokens dan membakarnya untuk memastikan total pasokan tidak pernah turun ke nol. Ketika total pasokan turun ke nol, protokol menjadi rentan dan strategi ini mengurangi situasi tersebut,” pandu firma keamanan Hexgate di sini pada April 2023.

Baca lebih lanjut: Apa Itu Compound Finance?

Insiden-insiden ini, termasuk serangan US$4,6 juta pada infrastruktur terdesentralisasi Truflation pada hari Rabu, mencerminkan tantangan yang berlaku di industri aset kripto, di mana pelaku jahat menggunakan mekanisme berbeda untuk mencuri aset digital.

Penyangkalan

Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.



Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *