Omni, შეუცვლელი ტოკენის (NFT) ფულის ბაზრის პლატფორმა, დაიწია დაახლოებით 1,300 ETH (1.43 მილიონი აშშ დოლარი) კვირას, სწრაფი სესხის ხელახალი შეტევის შედეგად. მიხედვით PeckShield-მდე.
Omni საშუალებას აძლევს მომხმარებლებს განათავსონ თავიანთი NFT-ები, როგორც წესი, პოპულარული კოლექციებიდან, როგორიცაა Bored Ape Yacht Club, მიიღონ ნიშნები, როგორიცაა ეთერი (ETH).
დღევანდელი შეტევის შედეგად ჰაკერმა გამოიყენა ხელახალი დაუცველობა Omni პროტოკოლში. Reentrancy არის ცნობილი დაუცველობა პროექტებში, რომლებიც კოდირებულია Solidity-ით, რომელიც საშუალებას აძლევს თაღლით მსახიობს აიძულოს თავისი ჭკვიანი კონტრაქტი განახორციელოს გარე ზარი არასანდო კონტრაქტზე. ეს გარე ზარი შესრულებულია თავდაპირველ ფუნქციამდე და, შესაბამისად, შეიძლება გამოყენებულ იქნას პროტოკოლში ხელახლა შესვლისთვის, მისი ლიკვიდურობის ამოწურვის მიზნით.
ბლოკჩეინის უსაფრთხოების კომპანიის BlockSec-ის აღმასრულებელმა დირექტორმა იაჯინ ჟოუმ The Block-ს განუმარტა ექსპლოიტის პროცესი და თქვა, რომ თავდამსხმელმა შეიტანა NFT-ები კოლექციიდან, სახელწოდებით Doodles. ეს NFT-ები გამოიყენებოდა როგორც გირაო შეფუთული ETH (WETH) სესხის მისაღებად.
შემდეგ თავდამსხმელმა გამოიყენა ხელახალი შესვლის დაუცველობა გირავნობის სახით დეპონირებული ყველა NFT-ის გარდა ერთის გარდა. ეს ქმედება გამოიწვია მავნე გამოძახების ფუნქცია თავდამსხმელის სასარგებლოდ. ამ ფუნქციამ ჰაკერს საშუალება მისცა, სესხის პოზიციის ლიკვიდაციამდე გამოეყენებინა ნასესხები თანხები კიდევ უფრო მეტი Doodle-ის შესაძენად.
პოზიციის ლიკვიდაციის შემდეგ, თავდაპირველი გირაოს დარჩენილი Doodle NFT უბრუნდება თავდამსხმელს. სასესხო პოზიცია ლიკვიდირებულია, რადგან NFT-ის ღირებულება, რომელიც თავდაპირველად იყო უზრუნველყოფილი გამოძახების ფუნქციის გამოძახებამდე, საკმარისი არ იყო სავალო პოზიციის დასაფარად. აქ არის ხელახალი შესვლა, რადგან თავდამსხმელს შეუძლია აიძულოს ნასესხები WETH-ის გამოყენება, რათა შეიძინოს მეტი NFT ლიკვიდაციის დაწყებამდე.
შემდეგ თავდამსხმელმა გამოიყენა თავდაპირველი სესხით შეძენილი Doodles, როგორც გირაო მეტი WETH სესხის მისაღებად. თუმცა, Omni-მ არ აღიარა ეს ახალი ვალის პოზიცია, ამიტომ ჰაკერს შეეძლო NFT-ების გატანა სესხის დაბრუნების გარეშე.
შეტევამ პროტოკოლიდან 1,300-ზე მეტი WETH (1.4 მილიონი დოლარი) ამოიღო. Omni-მ თქვა, რომ ექსპლუატმა არ იმოქმედა არცერთ კლიენტის სახსრებზე, რადგან მხოლოდ შიდა ტესტირების სახსრები დაზარალდა, რადგან პლატფორმა ჯერ კიდევ ბეტა ტესტირების რეჟიმშია.
NFT ფულის ბაზრის პლატფორმამ განაცხადა, რომ მან შეაჩერა პროტოკოლი სრული გამოძიების მოლოდინში. Etherscan-ის მონაცემები აჩვენებს, რომ ექსპლუატატორმა უკვე გაათეთრა თანხები Tornado Cash-ის მეშვეობით, მონეტების შერევის სერვისი Ethereum-ზე კერძო ტრანზაქციებისთვის.
© 2022 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
წყარო: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss