Hack Onyx Finance : 2,1 millions de dollars envolés suite à une faille déjà bien connue

Un de plus – Chaque semaine, des protocoles DeFi sont victimes de hacks. Le phénomène est tel, que plus d’un milliard de dollars ont été dérobés depuis le début de l’année 2023. Hier, le protocole Onyx l’a appris à ses dépens avec la perte de 2,1 millions de dollars.

Hack Onyx : 2,1 millions de $ envolés

Onyx est un protocole de lending hébergé sur la blockchain Ethereum. Ainsi, il est possible d’y effectuer des emprunts et de générer des intérêts sur des dépôts en crypto.

Toutefois, le 2 novembre le protocole a été alerté par les équipes de PeckShield qu’une attaque était en cours sur le protocole.

Rapidement, le bilan tombe : le hacker a dérobé 1 164 ETH, soit environ 2,1 millions de dollars.

Sans grande surprise, ce dernier s’est empressé de faire transiter les fonds sur plusieurs adresses différentes. Enfin, ces derniers ont transité via le protocole Tornado Cash afin de brouiller les pistes. D’abord avec une première transaction de 100 ETH, puis avec le reste de son larcin.

Mouvement des fonds après l'attaque d'Onyx.
Mouvement des fonds après l’attaque d’Onyx.

De leur côté, les équipes d’Onyx ont été alertées de la faille. Ces derniers ont pris connaissance de la situation et ont été en mesure de corriger la faille. Désormais, Onyx explore un plan de remboursement.

Pour cela, une proposition de gouvernance a été soumise. Celle-ci vise à utiliser les 40 millions de dollars en jetons XCN disponible dans la trésorerie pour rembourser les utilisateurs lésés.

« La DAO Onyx utilisera, pour la première fois, les 40 millions de dollars de jetons XCN qu’elle possède. L’objectif étant de vendre des XCN de la trésorerie de la DAO afin de compenser le protocole Onyx pour le piratage. Enfin, de s’assurer que les utilisateurs reçoivent des fonds qui peuvent devenir disponibles. »

Une proposition qui ne semble pas pour autant faire l’unanimité.

>> Vous préférez garder vos cryptos à l’abri ? Choisissez un portefeuille Ledger (lien commercial) <<

Déroulement de l’attaque

Malheureusement, cette attaque comme beaucoup d’autres dans l’écosystème n’a rien de bien novateur.

Ainsi, le hacker a mené une attaque par « perte de précision ». Pour cela, il a exploité une faille qui engendre de mauvais arrondis lors de certains calculs.

Dans un premier temps, le hacker a effectué un flash loan afin d’emprunter pas moins de 4 000 ETH. Par la suite, il a échangé ses ETH contre des jetons PEPE. Il a ensuite déposé ses PEPE sur une pool dédiée sur Onyx. Ce dépôt lui a permis de manipuler le taux de change du PEPE, via la faille sur l’arrondi.

Enfin, à cause de cette “perte de précision” sur un arrondi, le hacker a pu retirer bien plus de PEPE qu’il n’en avait initialement déposé. Le hacker a finalement remboursé sur flash loan et empoché un butin de 1 164 ETH.

Pourtant, cette faille était déjà bien connue. En effet, celle-ci provient d’une partie de code issue du code du protocole Compound V2, qu’Onyx utilise dans son architecture.

De surcroît, c’est cette même faille qui a été exploitée en avril dernier sur le protocole Undred Finance. Celui-ci avait alors perdu plus de 7 millions de dollars sur OP Mainnet.

En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.