Omni, platforma peňažného trhu s nezastupiteľnými tokenmi (NFT), bola v nedeľu vyčerpaná približne 1,300 1.43 ETH (XNUMX milióna dolárov) pri útoku na opätovný vstup na flash pôžičku, podľa na PeckShield.
Omni umožňuje používateľom vsadiť svoje NFT, zvyčajne z populárnych zbierok, ako je Bored Ape Yacht Club, aby získali tokeny ako ether (ETH).
Pri dnešnom útoku hacker zneužil opätovný vstup do protokolu Omni. Reentrancy je známa zraniteľnosť v projektoch kódovaných pomocou Solidity, ktorá umožňuje nečestnému hercovi prinútiť svoju inteligentnú zmluvu k externému volaniu na nedôveryhodnú zmluvu. Toto externé volanie sa vykoná pred pôvodnou funkciou a možno ho teda použiť na opakovaný vstup do protokolu na odčerpanie jeho likvidity.
Yajin Zhou, generálny riaditeľ blockchainovej bezpečnostnej spoločnosti BlockSec, vysvetlil proces zneužitia pre The Block s tým, že útočník uložil NFT zo zbierky s názvom Doodles. Tieto NFT boli použité ako kolaterál na zapožičanie zabaleného ETH (WETH).
Útočník potom využil opätovnú zraniteľnosť stiahnutím všetkých NFT uložených ako kolaterál okrem jedného. Táto akcia spustené škodlivú funkciu spätného volania v prospech útočníka. Táto funkcia umožnila hackerovi použiť požičané prostriedky na nákup ešte ďalších sviatočných log pred likvidáciou pôžičkovej pozície.
Akonáhle je pozícia zlikvidovaná, zostávajúci Doodle NFT z pôvodného kolaterálu sa vráti späť útočníkovi. Úverová pozícia je likvidovaná, pretože hodnota NFT, ktorá bola pôvodne ponechaná ako kolaterál pred použitím funkcie spätného odvolania, nebola dostatočná na pokrytie dlhovej pozície. Toto je miesto, kde prichádza na scénu opätovný vstup, pretože útočník je schopný prinútiť sa pomocou vypožičaného WETH kúpiť viac NFT predtým, ako dôjde k likvidácii.
Útočník potom použil sviatočné logá získané s počiatočnou pôžičkou ako kolaterál na požičanie ďalšieho WETH. Omni však túto novú dlhovú pozíciu nerozpoznal, takže hacker mohol stiahnuť NFT bez splatenia pôžičky.
Útok odčerpal z protokolu viac ako 1,300 1.4 WETH (XNUMX milióna dolárov). Spoločnosť Omni uviedla, že zneužitie neovplyvnilo žiadne prostriedky zákazníkov, pretože boli ovplyvnené iba prostriedky na interné testovanie, pretože platforma je stále v režime beta testovania.
Platforma peňažného trhu NFT uviedla, že pozastavila protokol až do úplného vyšetrovania. Údaje z Etherscan ukazujú, že vykorisťovateľ už vypral finančné prostriedky prostredníctvom Tornado Cash, služby miešania mincí pre súkromné transakcie na Ethereu.
© 2022 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss