Хакер похитил ETH на $1,4 млн у кредитора NFT Omni

Хакер похитил ETH на $1,4 млн у кредитора NFT Omni

Злоумышленник воспользовался уязвимостью повторного входа, чтобы вывести средства из Omni. Эксплойт перекачал около 1,4 миллиона долларов с финансовой платформы NFT.

По данным PeckShield, Omni, платформа денежного рынка невзаимозаменяемых токенов (NFT), в воскресенье потеряла около 1300 ETH на сумму 1,43 миллиона долларов в результате атаки с повторным входом в кредит.

Omni позволяет пользователям размещать свои NFT, обычно из популярных коллекций, таких как Bored Ape Yacht Club, в качестве обеспечения для получения взаймы токенов, таких как эфир (ETH).

В ходе сегодняшней атаки хакер использовал уязвимость повторного входа в протокол Omni. Повторный вход — это известная уязвимость в проектах, написанных с помощью Solidity, которая позволяет злоумышленнику заставить свой смарт-контракт выполнить внешний вызов ненадежного контракта. Этот внешний вызов выполняется перед исходной функцией и, таким образом, может использоваться для многократного повторного входа в протокол для истощения его ликвидности.

Яджин Чжоу, генеральный директор компании BlockSec, занимающейся безопасностью блокчейнов, объяснил процесс эксплойта, заявив, что злоумышленник депонировал NFT из коллекции под названием Doodles. Эти NFT использовались в качестве залога для заимствования ETH (WETH).

Затем злоумышленник воспользовался уязвимостью повторного входа, сняв все NFT, кроме одного, депонированные в качестве залога. Это действие активировало вредоносную функцию обратного вызова в интересах злоумышленника. Эта функция позволила хакеру использовать заемные средства для покупки еще большего количества дудлов, прежде чем ликвидировать кредитную позицию.

Как только позиция ликвидирована, оставшаяся часть Doodle NFT из исходного обеспечения возвращается злоумышленнику. Кредитная позиция ликвидируется, потому что стоимость NFT, которая изначально была оставлена ​​в качестве залога до вызова функции обратного вызова, была недостаточной для покрытия долговой позиции. Именно здесь возникает повторный вход, поскольку злоумышленник может принудительно использовать заимствованный WETH, чтобы купить больше NFT до того, как произойдет ликвидация.

Затем злоумышленник использовал дудлы, полученные с помощью первоначального кредита, в качестве залога, чтобы занять больше WETH. Однако Omni не распознал эту новую долговую позицию, поэтому хакер мог отозвать NFT, не возвращая кредит.

Атака лишила протокол более 1300 WETH (1,4 миллиона долларов). Omni сказал, что эксплойт не затронул средства клиентов, поскольку пострадали только средства для внутреннего тестирования, поскольку платформа все еще находится в режиме проверки.

Платформа денежного рынка NFT заявила, что приостановила работу протокола до завершения расследования. Данные Etherscan показывают, что хакер уже отмыл средства через Tornado Cash (TORN), сервис микширования монет для частных транзакций на Ethereum.

Хакер похитил ETH на $1,4 млн у кредитора NFT Omni

Хакер похитил ETH на $1,4 млн у кредитора NFT Omni

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Новости DeFi

Крах FTX не скажется на стремлении ОАЭ стать глобальным центром криптовалюты

Поскольку крах FTX затронул различные секторы глобальной криптоэкосистемы, лидеры отрасли из Дубая прокомментировали, как фиаско повлияет на многообещающий крипто-хаб в Объединенных Арабских Эмиратах (ОАЭ). Отраслевые специалисты поделились своими взглядами на то, как крах биржи FTX повлияет на криптоландшафт Дубая и ОАЭ. Кокила Алах, основатель и генеральный директор KARM Legal Consultants, считает, что крах FTX приведет […]

Читать дальше
Новости DeFi

Запуск проект стейблкоина Ardana на Cardano не состоится

Ведущий проект стейблкоина на Cardano – Ardana – закрывается после длительных задержек с запуском, хотя разработчики еще в январе заявляли, что «почти вся разработка продукта/смарт-контракта завершена». Ardana (DANA), ведущая экосистема децентрализованных финансов (DeFi) и стейблкоина, построенная на Cardano (ADA), внезапно остановила разработку, сославшись на «неопределенность в отношении финансирования и сроков проекта». Проект останется с открытым […]

Читать дальше
Новости DeFi

Proximity Labs и биржи Orderly Network, Spin и Tonic создают фонд разработчиков на $10 млн

Передовая исследовательская компания, специализирующаяся на DeFi-технологии в рамках экосистемы Near и три торговых протокола на блокчейне Near Protocol объявили о создании фонда, направленного на дальнейшее укрепление децентрализованной торговой экосистемы на Near Protocol. Компания Proximity Labs, занимающаяся исследованиями и разработками в области блокчейна, и три децентрализованных биржи на блокчейне Near Protocol — Orderly Network, Spin и […]

Читать дальше