Onyx exploité pour 3,8 millions de dollars alors que les exploits DeFi s'intensifient dans l'espace Web3

protocole de finance décentralisée (DeFi), a été exploité pour 3,8 millions de dollars en raison d'une vulnérabilité dans son contrat de liquidation de jetons non fongibles (NFT).

DeFi protocol Onyx has lost $3.8 million in a new attack, which was largely enabled by a known vulnerability in Compound Finance’s codebase v2.

Le protocole DeFi Onyx a perdu 3,8 millions de dollars dans une nouvelle attaque, largement rendue possible par une vulnérabilité connue dans la base de code v2 de Compound Finance.

The blockchain security firm PeckShield has identified the attacker's use of a vulnerability in the NFT liquidation contract, which led to the exploitation. The vulnerability is present in Compound Finance's v2 codebase, which is used by several DeFi protocols.

La société de sécurité blockchain PeckShield a identifié l'utilisation par l'attaquant d'une vulnérabilité dans le contrat de liquidation NFT, qui a conduit à l'exploitation. La vulnérabilité est présente dans la base de code v2 de Compound Finance, qui est utilisée par plusieurs protocoles DeFi.

The vulnerability can be exploited when a DeFi protocol has an “empty market” — a market with no liquidity, which usually happens when launching new markets.

La vulnérabilité peut être exploitée lorsqu'un protocole DeFi a un « marché vide » – un marché sans liquidité, ce qui se produit généralement lors du lancement de nouveaux marchés.

The attacker drained 4.1 million virtual USD (VUSD), 7.35 million Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), $5,000 in the DAI stablecoin, and $50,000 in the USDT stablecoin, totaling over $3.8 million in losses.

L'attaquant a drainé 4,1 millions de dollars virtuels (VUSD), 7,35 millions d'Onyxcoin (XCN), 0,23 Bitcoin enveloppé (WBTC), 5 000 dollars dans le stablecoin DAI et 50 000 dollars dans le stablecoin USDT, totalisant plus de 3,8 millions de dollars de pertes.

A previous attack on Onyx occurred in October 2023, which was also enabled by the same vulnerability in the Compound Finance codebase. Another exploitation occurred in Hundred Finance, which was attacked in April 2023.

Une précédente attaque contre Onyx s'est produite en octobre 2023, qui a également été activée par la même vulnérabilité dans la base de code de Compound Finance. Une autre exploitation a eu lieu chez Hundred Finance, qui a été attaquée en avril 2023.

The DeFi protocol later acknowledged the faulty NFT contract as the primary cause of the attack, while the Compound vulnerability played a role.

Le protocole DeFi a ensuite reconnu le contrat NFT défectueux comme la principale cause de l'attaque, tandis que la vulnérabilité Compound a joué un rôle.

According to PeckShield, the contract failed to validate user input properly, which allowed the attacker to inflate self-liquidation rewards and drain funds.

Selon PeckShield, le contrat n'a pas réussi à valider correctement les entrées de l'utilisateur, ce qui a permis à l'attaquant de gonfler les récompenses d'auto-liquidation et de drainer des fonds.

DeFi exploits have become a pressing issue in Web3, with several protocols being attacked in 2024. Just days before the Onyx attack, Bedrock, a liquid staking protocol, lost over $2 million due to a vulnerability in its uniBTC contract.

Les exploits DeFi sont devenus un problème urgent dans le Web3, avec plusieurs protocoles attaqués en 2024. Quelques jours seulement avant l'attaque Onyx, Bedrock, un protocole de jalonnement liquide, a perdu plus de 2 millions de dollars en raison d'une vulnérabilité dans son contrat uniBTC.

Another protocol, Bankroll Network, suffered a $230,000 loss when an attacker exploited a faulty “buyFor” function.

Un autre protocole, Bankroll Network, a subi une perte de 230 000 $ lorsqu'un attaquant a exploité une fonction « buyFor » défectueuse.

After stealing the funds, attackers often convert them into Ether to launder the funds through cryptocurrency mixers like Tornado Cash, which complicates the efforts of cybersecurity firms to trace the stolen funds.

Après avoir volé les fonds, les attaquants les convertissent souvent en Ether pour blanchir les fonds via des mélangeurs de crypto-monnaie comme Tornado Cash, ce qui complique les efforts des entreprises de cybersécurité pour retrouver les fonds volés.

Crypto hacks have been escalating in 2024, with the first quarter seeing $542.7 million stolen, a 42% increase from the same period in 2023. July was particularly severe, with over $266 million stolen across 16 attacks.

Les piratages cryptographiques se sont intensifiés en 2024, avec 542,7 millions de dollars volés au premier trimestre, soit une augmentation de 42 % par rapport à la même période en 2023. Le mois de juillet a été particulièrement sévère, avec plus de 266 millions de dollars volés lors de 16 attaques.

This includes a $230 million theft from Indian exchange WazirX, which was the second-largest hack of the year so far.

Cela inclut un vol de 230 millions de dollars sur la bourse indienne WazirX, qui constitue jusqu'à présent le deuxième plus grand piratage de l'année.

The WazirX hacker has been attempting to funnel the stolen funds, consolidating $57 million worth of ETH into new addresses by July 22.

Le pirate informatique WazirX a tenté de canaliser les fonds volés, consolidant 57 millions de dollars d'ETH vers de nouvelles adresses avant le 22 juillet.

Most recently, Singapore-based cryptocurrency exchange BingX’s estimated loss from a suspected hack on Friday more than doubled to over $52 million, following further investigations.

Plus récemment, la perte estimée de l'échange de crypto-monnaie BingX, basée à Singapour, suite à un piratage présumé vendredi, a plus que doublé pour atteindre plus de 52 millions de dollars, à la suite d'enquêtes plus approfondies.