Хакер викрав Ethereum на $1,4 млн у NFT-кредитора Omni

Зловмисник скористався вразливістю повторного входу, щоб вивести кошти з Omni. Експлойт дозволыв “викачати” близько 1,4 мільйона доларів із фінансової NFT-платформи.

За даними PeckShield, Omni, платформа грошового ринку незамінних токенів (NFT), у неділю втратила близько 1300 ETH на суму 1,43 мільйона доларів в результаті атаки з повторним входом у кредит.

Omni дозволяє користувачам розміщувати свої NFT, зазвичай з популярних колекцій, таких як Bored Ape Yacht Club, як забезпечення для отримання у позику токенів, таких як Ethereum (ETH).

У ході атаки хакер використав уразливість повторного входу до протоколу Omni. Повторний вхід – це відома вразливість у проектах, написаних за допомогою Solidity, яка дозволяє зловмиснику змусити свій смарт-контракт здійснити зовнішній виклик ненадійного контракту. Цей зовнішній виклик виконується перед вихідною функцією і, таким чином, може використовуватися для повторного входу в протокол для зниження його ліквідності.

Яджин Чжоу, генеральний директор компанії BlockSec, яка займається безпекою блокчейнів, пояснив процес експлойту, заявивши, що зловмисник депонував NFT із колекції під назвою Doodles. Ці NFT використовувалися як застава для запозичення ETH (WETH).

Потім зловмисник скористався вразливістю повторного входу, знявши всі NFT, крім одного, депонованого як заставу. Ця дія активувала шкідливу функцію зворотного виклику на користь зловмисника. Ця функція дозволила хакеру використовувати позикові кошти на купівлю ще більшої кількості дудлів, перш ніж ліквідувати кредитну позицію.

Як тільки позиція була ліквідована, частина Doodle NFT, що залишилася, з вихідного забезпечення повернулась зловмиснику. Кредитна позиція ліквідувалась, тому що вартість NFT, яка спочатку була залишена як застава до запуску функції зворотного виклику, була недостатньою для покриття боргової позиції. Саме тут виникає повторний вхід, оскільки зловмисник може примусово використовувати запозичений WETH, щоб купити більше NFT, перш ніж відбудеться ліквідація.

Потім зловмисник використовував дудли, отримані за допомогою початкового кредиту, як заставу, щоб зайняти більше WETH. Однак Omni не розпізнав цієї нової боргової позиції, тому хакер міг відкликати NFT, не повертаючи кредит.

Атака позбавила протокол понад 1300 WETH ($1,4 млн). Omni сказав, що експлойт не торкнувся коштів клієнтів, оскільки постраждали лише кошти для внутрішнього тестування, оскільки платформа все ще перебуває в режимі перевірки.

Платформа фінансового ринку NFT заявила, що призупинила роботу протоколу до завершення розслідування. Дані Etherscan показують, що хакер вже відмив кошти через Tornado Cash (TORN), сервіс мікшування монет для приватних транзакцій на Ethereum.

Хочете отримувати свіжі новини по темі криптовалют в месенджер? Підписуйтеся на наш Telegram!

Новини за темою

У користувачів Instagram і Facebook зі США з’явилася можливість публікувати NFT

Корпорація Meta додала більше функцій із цифровими активами між...

Обсяги торгів NFT знизилися на 97% з початку року

З початку 2022 року обсяги торгів невзаємозамінними токенами (NFT)...

NFT-маркетплейс OpenSea додав підтримку L2-рішення Optimism

Торгова NFT-платформа OpenSea впровадила підтримку протоколу масштабування рівня 2...

У Disney повідомили про пошук фахівця для розробки блокчейн-продуктів

Компанія Walt Disney опублікувала оголошення про пошук корпоративного юриста...

Компанія Apple дозволила продаж NFT у додатках в App Store

Apple дозволила розробникам публікувати додатки з продажу невзаємозамінних токенів...

Аргентинський лоукост Flуbondi представить квитки у вигляді NFT

Аргентинська авіакомпанія-лоукостер Flybondi вирішила використовувати технологію блокчейна у своїх...

Hennessy випустить NFT-колекцію, присвячену ексклюзивному коньяку Paradis

Один з найвідоміших французьких коньячних будинків Hennessy випустить лімітовану...

ЗМІ: У Євросоюзі планують надати NFT статус цінних паперів

Формально текст закону про ринки криптоактивів (MiCA) все ще...

В Epic Games Store з’явилася перша NFT-гра

Компанія Epic Games розмістила у своєму онлайн-магазині першу NFT-гру...

Останні новини

Компанія Apple дозволила продаж NFT у додатках в App Store

Apple дозволила розробникам публікувати додатки з продажу невзаємозамінних токенів (NFT) у своєму маркетплейсі App Store. Про це пише The Information з посиланням на розробників...

NFT-маркетплейс OpenSea додав підтримку L2-рішення Optimism

Торгова NFT-платформа OpenSea впровадила підтримку протоколу масштабування рівня 2 мережі Ethereum Optimism. Про це команда проекту заявила у Twitter. https://twitter.com/opensea/status/1574799977649422339 Додавання NFT-проектів на основі Optimism збільшує...

Обсяги торгів NFT знизилися на 97% з початку року

З початку 2022 року обсяги торгів невзаємозамінними токенами (NFT) впали на 97%. Із січня до вересня цей показник знизився з 17 млрд до 466...

LEAVE A REPLY

Please enter your comment!
Please enter your name here