Onyx wurde für 3,8 Millionen US-Dollar ausgenutzt, während DeFi-Angriffe im Web3-Bereich eskalierten

Das DeFi-Protokoll (Tralized Finance) wurde aufgrund einer Schwachstelle in seinem Liquidationsvertrag für nicht fungible Token (NFT) für 3,8 Millionen US-Dollar ausgenutzt.

DeFi protocol Onyx has lost $3.8 million in a new attack, which was largely enabled by a known vulnerability in Compound Finance’s codebase v2.

Das DeFi-Protokoll Onyx hat durch einen neuen Angriff 3,8 Millionen US-Dollar verloren, der größtenteils durch eine bekannte Schwachstelle in der Codebasis v2 von Compound Finance ermöglicht wurde.

The blockchain security firm PeckShield has identified the attacker's use of a vulnerability in the NFT liquidation contract, which led to the exploitation. The vulnerability is present in Compound Finance's v2 codebase, which is used by several DeFi protocols.

Das Blockchain-Sicherheitsunternehmen PeckShield hat festgestellt, dass der Angreifer eine Schwachstelle im NFT-Liquidationsvertrag ausgenutzt hat, was zur Ausnutzung geführt hat. Die Schwachstelle liegt in der v2-Codebasis von Compound Finance vor, die von mehreren DeFi-Protokollen verwendet wird.

The vulnerability can be exploited when a DeFi protocol has an “empty market” — a market with no liquidity, which usually happens when launching new markets.

Die Schwachstelle kann ausgenutzt werden, wenn ein DeFi-Protokoll einen „leeren Markt“ hat – einen Markt ohne Liquidität, was normalerweise bei der Einführung neuer Märkte der Fall ist.

The attacker drained 4.1 million virtual USD (VUSD), 7.35 million Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), $5,000 in the DAI stablecoin, and $50,000 in the USDT stablecoin, totaling over $3.8 million in losses.

Der Angreifer erbeutete 4,1 Millionen virtuelle USD (VUSD), 7,35 Millionen Onyxcoin (XCN), 0,23 Wrapped Bitcoin (WBTC), 5.000 US-Dollar im DAI-Stablecoin und 50.000 US-Dollar im USDT-Stablecoin, was einem Gesamtverlust von über 3,8 Millionen US-Dollar entspricht.

A previous attack on Onyx occurred in October 2023, which was also enabled by the same vulnerability in the Compound Finance codebase. Another exploitation occurred in Hundred Finance, which was attacked in April 2023.

Ein früherer Angriff auf Onyx erfolgte im Oktober 2023, der ebenfalls durch dieselbe Schwachstelle in der Compound Finance-Codebasis ermöglicht wurde. Eine weitere Ausbeutung ereignete sich bei Hundred Finance, das im April 2023 angegriffen wurde.

The DeFi protocol later acknowledged the faulty NFT contract as the primary cause of the attack, while the Compound vulnerability played a role.

Das DeFi-Protokoll erkannte später den fehlerhaften NFT-Vertrag als Hauptursache des Angriffs an, während die Compound-Schwachstelle eine Rolle spielte.

According to PeckShield, the contract failed to validate user input properly, which allowed the attacker to inflate self-liquidation rewards and drain funds.

Laut PeckShield konnte der Vertrag Benutzereingaben nicht ordnungsgemäß validieren, was es dem Angreifer ermöglichte, die Selbstliquidierungsprämien zu erhöhen und Gelder abzuschöpfen.

DeFi exploits have become a pressing issue in Web3, with several protocols being attacked in 2024. Just days before the Onyx attack, Bedrock, a liquid staking protocol, lost over $2 million due to a vulnerability in its uniBTC contract.

DeFi-Exploits sind zu einem dringenden Problem in Web3 geworden, da im Jahr 2024 mehrere Protokolle angegriffen wurden. Nur wenige Tage vor dem Onyx-Angriff verlor Bedrock, ein Liquid-Staking-Protokoll, über 2 Millionen US-Dollar aufgrund einer Schwachstelle in seinem uniBTC-Vertrag.

Another protocol, Bankroll Network, suffered a $230,000 loss when an attacker exploited a faulty “buyFor” function.

Ein anderes Protokoll, Bankroll Network, erlitt einen Verlust von 230.000 US-Dollar, als ein Angreifer eine fehlerhafte „buyFor“-Funktion ausnutzte.

After stealing the funds, attackers often convert them into Ether to launder the funds through cryptocurrency mixers like Tornado Cash, which complicates the efforts of cybersecurity firms to trace the stolen funds.

Nach dem Diebstahl der Gelder wandeln Angreifer diese oft in Ether um, um die Gelder über Kryptowährungsmixer wie Tornado Cash zu waschen, was die Bemühungen von Cybersicherheitsfirmen, die gestohlenen Gelder aufzuspüren, erschwert.

Crypto hacks have been escalating in 2024, with the first quarter seeing $542.7 million stolen, a 42% increase from the same period in 2023. July was particularly severe, with over $266 million stolen across 16 attacks.

Krypto-Hacks haben im Jahr 2024 zugenommen, wobei im ersten Quartal 542,7 Millionen US-Dollar gestohlen wurden, ein Anstieg von 42 % gegenüber dem gleichen Zeitraum im Jahr 2023. Der Juli war besonders schwerwiegend, da bei 16 Angriffen über 266 Millionen US-Dollar gestohlen wurden.

This includes a $230 million theft from Indian exchange WazirX, which was the second-largest hack of the year so far.

Dazu gehört auch ein Diebstahl der indischen Börse WazirX im Wert von 230 Millionen US-Dollar, der bisher der zweitgrößte Hack des Jahres war.

The WazirX hacker has been attempting to funnel the stolen funds, consolidating $57 million worth of ETH into new addresses by July 22.

Der WazirX-Hacker hat versucht, die gestohlenen Gelder weiterzuleiten und bis zum 22. Juli ETH im Wert von 57 Millionen US-Dollar an neuen Adressen zu konsolidieren.

Most recently, Singapore-based cryptocurrency exchange BingX’s estimated loss from a suspected hack on Friday more than doubled to over $52 million, following further investigations.

Zuletzt hat sich der geschätzte Verlust der in Singapur ansässigen Kryptowährungsbörse BingX durch einen mutmaßlichen Hackerangriff am Freitag nach weiteren Untersuchungen mehr als verdoppelt und liegt bei über 52 Millionen US-Dollar.