O protocolo de liquidez descentralizado Onyx sofreu um ataque cibernético que resultou na perda de milhões em criptoativos, abalando a confiança dos usuários da plataforma.
De acordo com a firma de segurança blockchain PeckShield, os invasores conseguiram roubar mais de $3,8 milhões em ativos digitais. O valor inclui 7,35 milhões de Onyxcoin (XCN), o token utilitário do protocolo, além de 50 mil Tether (USDT), 4,1 milhões de Virtual USD (VUSD), 5 mil DAI e 0,23 Wrapped Bitcoin (WBTC). Após o ataque, os responsáveis trocaram os tokens roubados por Ethereum (ETH).
PeckShield identificou duas falhas que permitiram o comprometimento do Onyx. A primeira vulnerabilidade está ligada a um problema já conhecido na base de código do Compound V2, que foi utilizada em uma versão modificada no Onyx. Esse erro permitiu aos hackers manipular a taxa de câmbio de um mercado quase vazio para realizar o ataque.
A segunda vulnerabilidade explorada pelos criminosos está relacionada ao contrato NFTLiquidation. Esse contrato, que não valida corretamente a entrada de dados dos usuários, foi utilizado pelos hackers para inflacionar indevidamente o valor das recompensas de autoliquidação, facilitando ainda mais o roubo.
Após o incidente, o próprio Onyx conduziu uma investigação interna, confirmando que a principal falha estava realmente no contrato NFTLiquidation. A equipe do protocolo declarou que um “ator nefasto” aproveitou-se dessa brecha para esvaziar o VUSD do sistema, destacando que a exploração pôde ser compreendida a partir dessa vulnerabilidade.
Com a exploração, o ataque trouxe à tona questões de segurança no código subjacente ao Onyx, ressaltando a necessidade de revisão contínua dos contratos inteligentes para evitar novas brechas.
