Omni, eng net-fungibel Token (NFT) Geldmaartplattform, gouf vun ongeféier 1,300 ETH ($ 1.43 Milliounen) an engem Flash Prêt Reentrancy Attack e Sonndeg drainéiert, no zu PeckShield.
Omni erlaabt d'Benotzer hir NFTs ze spillen, normalerweis aus populäre Sammlungen wéi Bored Ape Yacht Club, fir Tokens wéi Ether (ETH) ze kréien.
Den Attack vun haut huet den Hacker eng Reentrancy Schwachstelle am Omni Protokoll exploitéiert. Reentrancy ass eng bekannte Schwachstelle bei Projeten kodéiert mat Solidity, déi e schreckleche Schauspiller erlaabt säi Smart Kontrakt ze zwéngen fir en externen Uruff un en net zouverléissege Kontrakt ze maachen. Dësen externen Uruff gëtt virun der ursprénglecher Funktioun ausgefouert a kann also benotzt ginn fir ëmmer erëm an de Protokoll anzeginn fir seng Liquiditéit ze drainéieren.
Yajin Zhou, CEO vun der Blockchain Sécherheetsfirma BlockSec, erkläert de Prozess vum Exploit op The Block, a sot datt den Ugräifer NFTs aus enger Sammlung genannt Doodles deposéiert huet. Dës NFTs goufen als Garantie benotzt fir gewéckelt ETH (WETH) ze léinen.
Den Ugräifer huet dunn d'Reentrancy Schwachstelle exploitéiert andeems hien all ausser ee vun den NFTs zréckgezunn huet, déi als Garantie deposéiert goufen. Dës Aktioun ausgeléist eng béiswëlleg Callback Funktioun zum Virdeel vum Ugräifer. Dës Funktioun huet den Hacker erlaabt d'geléinte Fongen ze benotzen fir nach méi Doodles ze kafen ier Dir d'Prêtpositioun liquidéiert.
Wann d'Positioun liquidéiert ass, gëtt de verbleiwen Doodle NFT aus der ursprénglecher Garantie zréck an den Ugräifer zréck. D'Prêtpositioun gëtt liquidéiert well de Wäert vum NFT, deen ufanks als Garantie gelooss gouf ier d'Rufffunktioun opgeruff gouf, net genuch war fir d'Scholdepositioun ze decken. Dëst ass wou d'Reentrancy erakomm ass, well den Ugräifer fäeg ass duerch de geléinte WETH ze zwéngen fir méi NFTs ze kafen ier d'Liquidatioun geschitt.
Den Ugräifer huet dunn d'Doodles benotzt, déi mam initiale Prêt als Garantie kaaft goufen fir méi WETH ze léinen. Den Omni huet awer dës nei Scholdepositioun net erkannt, sou datt den Hacker d'NFTs zréckzéie konnt ouni de Prêt zréckzebezuelen.
D'Attack huet méi wéi 1,300 WETH ($ 1.4 Milliounen) aus dem Protokoll drainéiert. Den Omni sot datt den Ausbeutung keng Clientsfongen beaflosst well nëmmen intern Testfongen beaflosst waren, well d'Plattform nach ëmmer am Beta-Testmodus ass.
D'NFT Geldmarktplattform sot datt et de Protokoll gepaust huet bis op eng komplett Enquête. Daten aus Etherscan weisen datt de Exploitateur d'Fongen iwwer Tornado Cash scho gewäsch huet, e Mënzvermëschungsservice fir privat Transaktiounen op Ethereum.
© 2022 The Block Crypto, Inc. All Rechter reservéiert. Dësen Artikel ass nëmme fir Informatioun Zwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht fir als legal, Steier, Investitioun, finanziell oder aner Berodung benotzt ze ginn.
Quell: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss