Onyx, một giao thức tài chính phi tập trung (DeFi), đã nhận được sự đồng thuận của cộng đồng để khởi động lại mạng lưới Onyx Core sau vụ tấn công khiến 3.8 triệu đô la bị mất vào ngày 27 tháng 1.
Vụ tấn công đã khai thác một lỗ hổng bảo mật đã được biết đến, dẫn đến một đề xuất khẩn cấp (OIP-46) nhằm đại tu giao thức và sản phẩm, bao gồm việc ngừng hoạt động của thị trường cho vay dựa trên Ethereum.
Đề xuất cải tiến Onyx (OIP-46), mang tên “Relaunch Onyx Core”, được giới thiệu vào cùng ngày xảy ra vụ tấn công. Đề xuất này kêu gọi đóng cửa thị trường cho vay và hoàn trả toàn bộ số tiền cho người cho vay. Đến ngày 29 tháng 1, đề xuất đã nhận được sự ủng hộ nhất trí từ cộng đồng, ấn định ngày tái khởi động vào ngày 1 tháng 2.
Trong đợt tái khởi động này, nhóm Onyx sẽ phát hành một sách trắng đã được chỉnh sửa, tập trung vào việc vận hành Onyx Core như một giao thức cho vay khép kín, hỗ trợ việc đóng gói NFT, tài sản thực và tài sản tiền điện tử. Động thái này nhằm ngăn chặn các vụ khai thác trong tương lai, như vụ việc đã xảy ra qua lỗ hổng hợp đồng NFTLiquidation, đã được sử dụng trong một cuộc tấn công vào tháng 5 năm 2023.
Việc tái cấu trúc này diễn ra trong bối cảnh các vụ tấn công tiền điện tử ngày càng gia tăng, trong đó các sàn giao dịch tập trung trở thành mục tiêu chính, gây thiệt hại lên tới 2.1 tỷ đô la trong năm 2024.
Theo công ty bảo mật PeckShield, tin tặc Onyx đã đánh cắp 4.1 triệu đô la VUSD, 7.35 triệu Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), 5,000 đô la DAI và 50,000 đô la USDT, tổng thiệt hại vượt quá 3.8 triệu đô la.
Lỗ hổng dẫn đến vụ khai thác này nằm trong mã nguồn phiên bản 2 của Compound Finance, được nhiều giao thức DeFi khác sử dụng. Lỗ hổng tương tự đã bị khai thác trong một cuộc tấn công vào Hundred Finance vào tháng 5 năm 2023 và trong vụ tấn công đầu tiên vào Onyx vào tháng 4 năm 2023.
Lỗ hổng này có thể bị khai thác khi giao thức DeFi có “thị trường trống” — thị trường thiếu thanh khoản, thường xuất hiện khi các thị trường mới được ra mắt.
Khai thác trong lĩnh vực DeFi đã trở thành vấn đề phổ biến trong không gian Web3. Chỉ vài ngày trước vụ tấn công Onyx, Bedrock, một giao thức staking thanh khoản, đã mất hơn 2 triệu đô la do lỗ hổng trong hợp đồng uniBTC. Ngoài ra, Bankroll Network cũng mất 230,000 đô la do kẻ tấn công khai thác chức năng "buyFor" bị lỗi.
Tin tặc thường chuyển đổi các token bị đánh cắp thành Ether để rửa tiền qua các công cụ trộn tiền điện tử như Tornado Cash, làm khó khăn thêm cho nỗ lực điều tra của các công ty an ninh mạng.
Số vụ hack tiền điện tử đang gia tăng trong năm 2024. Chỉ trong quý đầu tiên đã có 542.7 triệu USD bị đánh cắp, tăng 42% so với cùng kỳ năm 2023. Tháng 2 đặc biệt nghiêm trọng, với hơn 266 triệu USD bị đánh cắp trong 230 cuộc tấn công, bao gồm cả vụ đánh cắp 10 triệu USD từ sàn giao dịch Ấn Độ WazirX, một trong những vụ hack lớn nhất năm nay.