Onyx Protocol 骇客赚太多!竟给三名加密乞丐打赏239枚ETH
Onyx Protocol 昨日因安全漏洞四舍五入问题rounding issue遭受攻击,造成超过 1160 枚 ETH相当于 210 万美元的资金损失。团队表示立即封锁了该漏洞,并确认了未影响到与 XCN 代币相关的链上资产,最新消息公布其正在制定补偿计画,将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,以保障受骇客攻击影响的用户获得相应的赔偿。值得一提的是,经链上数据分析发现,攻击者向三名乞讨者送出了共 239 枚 ETH。背景补充:今年最大窃案!Euler奇迹收回2亿镁,19岁骇客的魔鬼与天使
binance.com本文目录
骇客攻击手法团队表示安全无虞与补偿计画送乞讨者239 枚 ETH去中心化借贷协议 Onyx Protocol 昨1日遭受攻击,被窃取 11645 枚 ETH,等值约 210 万美元。根据区块链安全公司 PeckShield 调查指出,这次的攻击利用的是一个已知的漏洞,即四舍五入问题rounding issue。
骇客攻击手法
四舍五入问题指的是在区块链借贷协议的实作中,由于固定位数限制,可能会导致资产计算上的小数点后的数值在某些操作中被不恰当地四舍五入,这可能会在计算利息或者交易分割时造成微小的资金损失或增益。在复杂的金融交易中,这种看似微不足道的问题将会被累积起来造成重大影响,如同这次 Onyx Protocol 损失的 210 万美元。
具体来说,骇客攻击的方式如下:
首先,oPEPE 市场这是一个代币市场在没有任何流动性即没有资金或其他资产支持交易的情况下被部署了。在这个空的市场中,骇客透过捐赠资金的方式,使得 oPEPE 市场得以在其他有流动性的市场上借款。骇客然后利用已知的四舍五入问题,从这个市场赎回了捐赠的资金。简而言之,这次攻击利用了一个故意留空的市场,透过捐赠资金创造了借款的假象,并透过四舍五入的漏洞来盗取更多的资金。
团队表示安全无虞与补偿计画
攻击发生后,Onyx 协议团队表示他们已经掌握了事态发展,立即封锁了该漏洞,并确认了这次的漏洞并未影响到 XCN 代币及其合约、XCN 的质押池,以及 Uniswap 上的交易池,这些部分都是安全的。
最新进展公布了 Onyx 协议团队正在制定补偿计画,他们将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,从该资金池中出售 XCN 代币,用于直接赔偿受骇客攻击影响的用户。
送乞讨者239 枚 ETH
经可视化金流分析平台 MetaSleuth 追踪骇客地址发现,攻击者随后将资金转移至另一个地址开头 0x4c,并将大部分的资金转移到混币协议 Tornado Cash,为了隐藏其资金流向。
Source:可视化金流分析平台 MetaSleuth值得注意的是,约剩余 239 枚 ETH 攻击者分发至 3 个地址:
地址开头 0xae 用户得到 65 枚 ETH地址开头 0xae 用户得到 13 枚 ETH地址开头 0xae 用户得到 44 枚 ETH经链上纪录分析发现,这三位用户均向攻击者发出请求,希望获得一些以太币,形同在链上用文字乞讨的加密乞丐。而在收到以太币后,他们对攻击者表示了深深的感激之情,具体的用户与攻击者之间的链上互动如下所示:
0xae 与攻击者对话纪录。Source:Etherscan0x1b域名 needcomebacketh与攻击者对话纪录。Source:Etherscan虽然向攻击者发送资金请求是过去也曾发生的事情,不过也因为链上记录公开透明,若用户真实身分被追踪到,也不排除 Onyx 团队会追究责任并要求归还资金。
