Omni, nezamjenjiva token (NFT) platforma za tržište novca, iscrpljena je za oko 1,300 ETH (1.43 milijuna dolara) u napadu ponovnog ulaska u brzi zajam u nedjelju, prema na PeckShield.
Omni omogućuje korisnicima da ulože svoje NFT-ove, obično iz popularnih kolekcija kao što je Bored Ape Yacht Club, kako bi primali tokene poput ethera (ETH).
U današnjem napadu haker je iskoristio ranjivost ponovnog ulaska u Omni protokol. Ponovni ulazak je poznata ranjivost u projektima kodiranim sa Solidityjem koja omogućuje lažnom akteru da prisili svoj pametni ugovor da uputi vanjski poziv nepouzdanom ugovoru. Ovaj vanjski poziv izvršava se prije izvorne funkcije i stoga se može koristiti za opetovano ponovno ulaženje u protokol kako bi se iscrpila njegova likvidnost.
Yajin Zhou, izvršni direktor blockchain sigurnosne tvrtke BlockSec, objasnio je The Blocku proces eksploatacije, rekavši da je napadač deponirao NFT-ove iz zbirke pod nazivom Doodles. Ti su NFT-ovi korišteni kao kolateral za posuđivanje zamotanog ETH-a (WETH).
Napadač je zatim iskoristio ranjivost ponovnog ulaska povlačenjem svih NFT-ova položenih kao kolateral osim jednog. Ova akcija potaknuta zlonamjerna funkcija povratnog poziva u korist napadača. Ova je funkcija omogućila hakeru da upotrijebi posuđena sredstva za kupnju još više crteža prije likvidacije kreditne pozicije.
Nakon što je pozicija likvidirana, preostali Doodle NFT iz izvornog kolaterala vraća se natrag napadaču. Pozicija kredita je likvidirana jer vrijednost NFT-a koja je prvobitno ostavljena kao kolateral prije pozivanja funkcije povratnog poziva nije bila dovoljna za pokrivanje pozicije duga. Ovdje dolazi do ponovnog ulaska, budući da je napadač u mogućnosti progurati se koristeći posuđeni WETH kako bi kupio još NFT-ova prije nego što dođe do likvidacije.
Napadač je zatim iskoristio Doodle stečene s početnim zajmom kao kolateral kako bi posudio još WETH. Omni, međutim, nije prepoznao ovu novu dužničku poziciju, pa je haker mogao povući NFT bez vraćanja zajma.
Napad je iscrpio više od 1,300 WETH (1.4 milijuna dolara) iz protokola. Omni je rekao da eksploatacija nije utjecala na sredstva korisnika jer su bila pogođena samo sredstva internog testiranja, jer je platforma još uvijek u beta testiranju.
NFT platforma za tržište novca rekla je da je pauzirala protokol čekajući potpunu istragu. Podaci s Etherscana pokazuju da je eksploatator već oprao sredstva putem Tornado Casha, usluge miješanja kovanica za privatne transakcije na Ethereumu.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss