原创 | Odaily星球日报（@OdailyChina）

作者 | 夫如何（@vincent31515173）

昨日，借贷平台OnyxProtocol被黑客利用漏洞攻击，损失价值超380万美元，被盗资金包括 1300 万枚 VUSD、735 万枚 XCN、5000 枚 DAI、0.23 枚 WBTC 和 5 万枚 USDT。

CoinGecko数据显示，VUSD立即脱锚，最低跌至0.2757 美元，24H跌幅达72.43%；截至发文，VUSD依旧处于脱锚状态，但已回升至0.7228美元，24H跌幅收窄至28.3%。

Onyx Protocol为了应对本次被盗事件，发布提案 OIP-46，建议重新启动 Onyx 的开源许可金融网络 Onyx Core，作为主要产品，与 XCN Staking 一起确保 Onyx Core 的治理和 Onyx Staker 的奖励。

根据该提案，Onyx Protocol 将在 Onyx Core 上以封闭式借贷协议运行，允许用户将 NFT 和真实资产（RWA）包装并借贷，同时支持来自多个链的加密资产。此举将关闭基于以太坊的借贷市场，并全额补偿所有受影响用户，按照 1:1的比例支付其提供的资产。

事件回顾

9月26日20:48，安全公司Cyvers 平台在X上发文，经其系统检测到涉及Onyx可疑交易，损失或已达320万美元。

同日21:55，安全公司PeckShield 在x平台发文称，抽走资金包括 410 万枚 VUSD、735 万枚 XCN、5000 枚 DAI、0.23 枚 WBTC 和 5 万枚 USDT。

VUSD 官方随后发布公告称：“遭遇安全漏洞，导致超过 1300 万美元的VUSD被盗。黑客随后将盗取的VUSD出售至流动性池，导致二级市场流动性损失约 150 万美元。事件发生后，智能合约已被暂停，以便进行适当沟通，目前确认 VUSD 代码库及储备没有漏洞。恶意行为者将根据服务条款被列入黑名单，待调查结束后，VUSD 智能合约服务将恢复，参与者可继续套利。”

官方称，VUSD 仍由超额抵押的资产全额支持，机构用户可按市场价格赎回和铸造 VUSD。VUSD 正在与 Onyx DAO 及相关当局合作识别攻击者，并计划在未来探索零售赎回所需的许可证。

Onyx Protocol 被盗原因是什么？

安全公司PeckShield表示，促成黑客攻击的问题与NFT 清算合约有关，该合约未能正确验证（不可信的）用户输入，导致自我清算奖励金额被人为扩大。

OnyxProtocol引用PeckShield关于“黑客利用NFTLiquidation合约漏洞攻击”的推文表示，黑客利用该协议从中抽走了 VUSD，此次漏洞可以从 NFT 清算合约中的一个安全隐患中识别和理解。主要问题并非Empty market，而是 NFT Liquidation 合约，XCN 质押和 XCN Farming未受影响。

知名安全公司CertiK 告诉Odaily星球日报：“Onyx Protocol的清算合约没有校验用户传入的oTokenCollateral和oTokenRepay地址。简单来说，攻击者通过自己部署的恶意合约欺骗Onyx协议他已经归还了欠款，从而在不归还欠款的情况下取回了所有抵押品”。

PeckShield还提到，Onyx被盗原因可能是分叉CompoundV2 代码库中已知精度问题，该漏洞已被攻击者利用。CertiK 也表示，Compound V2 的精度损失问题导致的"Empty Market Vulnerability"确是一个已经被多次攻击的已知问题，去年的 Hundred Finance以及今年5月份的Sonne Finance都因为精度损失遭到攻击。

Odaily星球日报调查发现，去年11月，Onyx同样受到黑客攻击，被攻击的原因同样是黑客利用Compound V2 分叉版本背后的已知舍入问题。但当时Onyx社区负责人Alex表示，漏洞得到修复，正与合作伙伴一起处理后续。

据悉，Onyx Protocol是以太坊生态的链上借贷平台，旨在提供代币和NFT的借贷市场，其中关于代币部分可能在开发过程中引用了Compound V2 的代码，算是Compound V2 分叉。但当时的Compound V2 的代码存在精度问题，后续Compound自身已经修改相关问题，但在这之前分叉的项目却无法避免相关问题。

关于Onyx Protocol 被盗后续进展，Odaily星球日报将持续关注。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。