Omni, një platformë e tregut të parave me token jo të këmbyeshëm (NFT), u hoq prej rreth 1,300 ETH (1.43 milion dollarë) në një sulm të rihyrjes së shpejtë të huasë të dielën. sipas te PeckShield.
Omni i lejon përdoruesit të vendosin NFT-të e tyre, zakonisht nga koleksionet e njohura si Bored Ape Yacht Club, për të marrë shenja si eteri (ETH).
Sulmi i sotëm bëri që hakeri të shfrytëzonte një cenueshmëri të rihyrjes në protokollin Omni. Rihyrja është një dobësi e njohur në projektet e koduara me Solidity që lejon një aktor mashtrues të detyrojë kontratën e tij inteligjente të bëjë një thirrje të jashtme për një kontratë të pabesueshme. Kjo thirrje e jashtme ekzekutohet përpara funksionit origjinal dhe kështu mund të përdoret për të rihyrë në mënyrë të përsëritur në protokoll për të kulluar likuiditetin e tij.
Yajin Zhou, CEO i kompanisë së sigurisë blockchain BlockSec, shpjegoi procesin e shfrytëzimit për The Block, duke thënë se sulmuesi depozitoi NFT nga një koleksion i quajtur Doodles. Këto NFT u përdorën si kolateral për të marrë hua ETH të mbështjellë (WETH).
Sulmuesi më pas shfrytëzoi cenueshmërinë e rihyrjes duke tërhequr të gjitha NFT-të e depozituara si kolateral përveç njërit. Ky veprim shkaktoi një funksion i kthimit të thirrjes me qëllim të keq në dobi të sulmuesit. Ky funksion i lejoi hakerit të përdorte fondet e huazuara për të blerë edhe më shumë Doodle përpara se të likuidonte pozicionin e kredisë.
Pasi pozicioni të likuidohet, pjesa e mbetur e Doodle NFT nga kolaterali origjinal i kthehet sulmuesit. Pozicioni i huasë likuidohet sepse vlera e NFT-së që fillimisht ishte lënë si kolateral përpara se të thirrej funksioni i kthimit të thirrjes nuk ishte e mjaftueshme për të mbuluar pozicionin e borxhit. Këtu hyn rihyrja, pasi sulmuesi është në gjendje të detyrojë të përdorë WETH të huazuar për të blerë më shumë NFT përpara se të ndodhë likuidimi.
Sulmuesi më pas përdori Doodles të marra me kredinë fillestare si kolateral për të marrë hua më shumë WETH. Megjithatë, Omni nuk e njohu këtë pozicion të ri borxhi, kështu që hakeri mund të tërhiqte NFT-të pa e kthyer huanë.
Sulmi nxori më shumë se 1,300 WETH (1.4 milion dollarë) nga protokolli. Omni tha se shfrytëzimi nuk ndikoi në asnjë fond klienti pasi u ndikuan vetëm fondet e testimit të brendshëm, pasi platforma është ende në modalitetin e testimit beta.
Platforma e tregut të parasë NFT tha se ka ndaluar protokollin në pritje të një hetimi të plotë. Të dhënat nga Etherscan tregojnë se shfrytëzuesi tashmë ka pastruar fondet përmes Tornado Cash, një shërbim i përzierjes së monedhave për transaksionet private në Ethereum.
© 2022 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Burimi: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss