DeFiエクスプロイトがWeb3分野でエスカレートする中、Onyxが380万ドル悪用される

Tralized Finance (DeFi) プロトコルは、非代替トークン (NFT) 清算契約の脆弱性により 380 万ドル悪用されました。

DeFi protocol Onyx has lost $3.8 million in a new attack, which was largely enabled by a known vulnerability in Compound Finance’s codebase v2.

DeFi プロトコル Onyx は、Compound Finance のコードベース v2 の既知の脆弱性によって主に引き起こされた新たな攻撃で 380 万ドルを失いました。

The blockchain security firm PeckShield has identified the attacker's use of a vulnerability in the NFT liquidation contract, which led to the exploitation. The vulnerability is present in Compound Finance's v2 codebase, which is used by several DeFi protocols.

ブロックチェーンセキュリティ企業ペックシールドは、攻撃者がNFT清算契約の脆弱性を利用し、悪用につながったことを特定した。この脆弱性は、いくつかの DeFi プロトコルで使用されている Compound Finance の v2 コードベースに存在します。

The vulnerability can be exploited when a DeFi protocol has an “empty market” — a market with no liquidity, which usually happens when launching new markets.

この脆弱性は、DeFi プロトコルに「空の市場」、つまり流動性のない市場がある場合に悪用される可能性があります。これは通常、新しい市場を立ち上げるときに発生します。

The attacker drained 4.1 million virtual USD (VUSD), 7.35 million Onyxcoin (XCN), 0.23 Wrapped Bitcoin (WBTC), $5,000 in the DAI stablecoin, and $50,000 in the USDT stablecoin, totaling over $3.8 million in losses.

攻撃者は、410万仮想米ドル（VUSD）、735万オニキスコイン（XCN）、0.23ラップビットコイン（WBTC）、DAIステーブルコインで5,000ドル、USDTステーブルコインで50,000ドルを流出させ、合計380万ドル以上の損失を出しました。

A previous attack on Onyx occurred in October 2023, which was also enabled by the same vulnerability in the Compound Finance codebase. Another exploitation occurred in Hundred Finance, which was attacked in April 2023.

Onyx に対する前回の攻撃は 2023 年 10 月に発生しましたが、これも Compound Finance コードベースの同じ脆弱性によって可能になりました。 Hundred Finance では別の悪用が発生し、2023 年 4 月に攻撃を受けました。

The DeFi protocol later acknowledged the faulty NFT contract as the primary cause of the attack, while the Compound vulnerability played a role.

DeFiプロトコルは後に、欠陥のあるNFT契約が攻撃の主な原因であることを認めましたが、複合脆弱性が役割を果たしました。

According to PeckShield, the contract failed to validate user input properly, which allowed the attacker to inflate self-liquidation rewards and drain funds.

PeckShield によると、契約ではユーザー入力が適切に検証されていなかったため、攻撃者は自己清算報酬をつり上げ、資金を流出させることができました。

DeFi exploits have become a pressing issue in Web3, with several protocols being attacked in 2024. Just days before the Onyx attack, Bedrock, a liquid staking protocol, lost over $2 million due to a vulnerability in its uniBTC contract.

DeFi エクスプロイトは Web3 における差し迫った問題となっており、2024 年にはいくつかのプロトコルが攻撃されます。Onyx 攻撃の数日前、リキッド ステーキング プロトコルである Bedrock は、uniBTC 契約の脆弱性により 200 万ドル以上を失いました。

Another protocol, Bankroll Network, suffered a $230,000 loss when an attacker exploited a faulty “buyFor” function.

別のプロトコルである Bankroll Network は、攻撃者が欠陥のある「buyFor」機能を悪用し、23 万ドルの損失を被りました。

After stealing the funds, attackers often convert them into Ether to launder the funds through cryptocurrency mixers like Tornado Cash, which complicates the efforts of cybersecurity firms to trace the stolen funds.

攻撃者は資金を盗んだ後、Tornado Cash などの仮想通貨ミキサーを通じて資金洗浄を行うために資金をイーサに変換することが多く、盗まれた資金を追跡するサイバーセキュリティ企業の取り組みが複雑になります。

Crypto hacks have been escalating in 2024, with the first quarter seeing $542.7 million stolen, a 42% increase from the same period in 2023. July was particularly severe, with over $266 million stolen across 16 attacks.

2024年には暗号通貨ハッキングが激化し、第1四半期には5億4,270万ドルが盗まれ、2023年の同時期と比べて42％増加した。7月は特に深刻で、16件の攻撃で2億6,600万ドル以上が盗まれた。

This includes a $230 million theft from Indian exchange WazirX, which was the second-largest hack of the year so far.

これには、これまでのところ今年で 2 番目に大きなハッキングとなったインドの取引所 WazirX からの 2 億 3,000 万ドルの盗難が含まれています。

The WazirX hacker has been attempting to funnel the stolen funds, consolidating $57 million worth of ETH into new addresses by July 22.

WazirX ハッカーは盗んだ資金を集めようとしており、7 月 22 日までに 5,700 万ドル相当の ETH を新しいアドレスに統合しました。

Most recently, Singapore-based cryptocurrency exchange BingX’s estimated loss from a suspected hack on Friday more than doubled to over $52 million, following further investigations.

ごく最近では、シンガポールに本拠を置く仮想通貨取引所BingXが金曜日に起きたハッキン​​グ容疑による推定損失額は、さらなる調査の結果、2倍以上の5,200万ドル以上となった。