Le piratage des protocoles de la Finance Décentralisée est devenu très fréquent au point où plus d’un milliard de dollars ont été dérobés depuis début 2023. Onyx Protocol, un protocole de la DeFi a rejoint la liste des victimes avec une perte de 2,1 millions de dollars.

Une perte de 2,1 millions de dollars pour Onyx Protocol

Onyx est un protocole de prêt hébergé sur Ethereum pour permettre aux utilisateurs d’emprunter et de gagner des intérêts sur leurs dépôts en cryptomonnaie. Le 2 novembre, Onyx a reçu une alerte de la part des équipes de PeckShield signalant une attaque en cours sur leur protocole. Résultats : 1.164 ETH, soit près de 2,1 millions de dollars ont été dérobés par le hacker. 

L’attaquant a rapidement transféré les fonds vers diverses adresses. Afin de brouiller la traçabilité, le pirate s’est servi de Tornado Cash pour faire transiter ces fonds. Il a commencé par une première transaction de 100 ETH, et ensuite, avec le reste de son butin. 

Très vite avertie de la faille, l’équipe d’Onyx a réagi en conséquence pour la corriger. Le protocole envisage dorénavant une stratégie de remboursement. Ainsi, il a été proposé que les 40 millions de dollars en jetons XCN de la trésorerie soient utilisés pour rembourser les clients lésés. 

Les détails sur le hack

À l’instar de nombreuses autres hacks au sein de la cryptosphère, cette attaque n’a rien de nouveau. En effet, l’attaquant a utilisé une stratégie d’attaque basée sur la perte de précision en exploitant une faille. Cette dernière provoque des arrondis inappropriés lors de certaines opérations. 

Le pirate a, d’abord, emprunté 4.000 ETH via un flash loan puis, les a échangés contre des jetons PEPE. En déposant les PEPE sur une piscine dédiée sur Onyx, l’attaquant a exploité la faille d’arrondi pour manipuler le taux d’échange du PEPE. Cela a permis au hacker de retirer plus de PEPE qu’il n’en avait normalement déposé. Il a ensuite remboursé sur flash loan et a touché 1.164 ETH.Notons que cette faille n’est pas nouvelle, car elle avait été exploitée en avril dernier sur Undred Finance. Ce protocole avait connu une perte de plus de 7 millions sur OP Mainnet.