Vụ tấn công được thực hiện theo hình thức flash loan thông qua lỗ hổng trong cơ sở mã dữ liệu của Onyx Protocol, gây thiệt hại hơn 2,1 triệu USD.
Vào chiều tối ngày 01/11/2023, đơn vị bảo mật blockchain PeckShield đã báo cáo một vụ tấn công trên giao thức DeFi có tên Onyx Protocol, ước tính thiệt hại ban đầu hơn 2,1 triệu USD.
Báo cáo cho biết kẻ tấn công đã rút tiền bằng cách khai thác một lỗ hổng làm tròn số (rounding vulnerability) trong cơ sở mã dữ liệu của Onyx, gây thất thoát và ảnh hưởng về độ chính xác của dự án (precision loss). Lỗ hổng này bắt nguồn từ một phiên bản fork cũ hơn của Compound V2 mà đã được Onyx kết hợp vào kiến trúc cơ bản của mình.
Cụ thể, kẻ tấn công đã thực hiện vay flash loan một lượng ETH đáng kể, swap nó thành PEPE rồi nạp tiền vào một pool cụ thể để thao túng tỷ giá giao dịch. Vì ảnh hưởng bởi độ chính xác (precision loss), hacker đã có thể rút nhiều tài sản hơn so với tỷ giá của pool.
Ngay sau đó, kẻ tấn công Onyx Protocol đã nhanh chóng tẩu tán tổng số tiền đánh cắp hơn 1.164 ETH (tương đương khoảng 2,1 triệu USD) đến địa chỉ ví
PeckShield cho rằng sự việc xảy ra với giao thức Onyx tương tự như vụ tấn công Hundred Finance gây thiệt hại 7,4 triệu USD vào tháng 04/2023, khiến dự án buộc phải đóng cửa và lên phương án bồi thường cho người dùng.
Chỉ hơn 1 tiếng sau, theo ghi nhận của PeckShield, toàn bộ số tiền đánh cắp đã được hacker rửa thông qua Tornado Cash – giao thức trộn lẫn giao dịch trên Ethereum có nhà đồng sáng lập là ông Roman Semanov đang bị Chính quyền Hoa Kỳ bắt giữ.
Hacker sau đó còn gửi tiền cho những địa chỉ đã gửi tin nhắn đến ví của mình để “ăn xin” tài sản.
Flash loan là hình thức “vay nóng” phổ biến, cho phép người dùng vay một lượng lớn tiền mà không cần thế chấp tài sản, với điều kiện là phải hoàn trả khoản vay trong cùng block giao dịch.
Theo PeckShield thống kê, đã có 386 vụ tấn công DeFi trong 6 tháng đầu năm 2023, với tổng giá trị tổn thất 479 triệu USD. Trong đó, 71% vụ tấn công là thực hiện qua hình thức flash loan, với Euler Finance là “nhân chứng” sống trong trường hợp này, kế đến là Platypus, 0VIX và Allbridge…
Có thể thấy, flash loan vẫn luôn là điểm yếu chí mạng gây tổn hại nặng nề cho mảng DeFi trong thời gian qua. Đây cũng chính là bài toán mà công ty kiểm toán và bảo mật blockchain Quantstamp muốn chung tay tháo gỡ thông qua sáng kiến mới.