تم استنزاف Omni ، منصة سوق المال غير القابلة للاستبدال (NFT) ، من حوالي 1,300،1.43 ETH (XNUMX مليون دولار) في هجوم إعادة القرض السريع يوم الأحد ، بالنسبة الى إلى PeckShield.
يسمح Omni للمستخدمين بالمشاركة في NFTs الخاصة بهم ، عادةً من المجموعات الشهيرة مثل Bored Ape Yacht Club ، لتلقي الرموز المميزة مثل ether (ETH).
شهد هجوم اليوم قيام المتسلل باستغلال ثغرة أمنية في إعادة الدخول في بروتوكول Omni. تعد Reentrancy ثغرة أمنية معروفة في المشاريع المشفرة باستخدام Solidity والتي تسمح لممثل مارق بإجبار عقده الذكي على إجراء مكالمة خارجية لعقد غير موثوق به. يتم تنفيذ هذا الاستدعاء الخارجي قبل الوظيفة الأصلية وبالتالي يمكن استخدامه لإعادة إدخال البروتوكول بشكل متكرر لاستنزاف سيولته.
أوضح Yajin Zhou ، الرئيس التنفيذي لشركة BlockSec لأمن blockchain ، عملية الاستغلال لـ The Block ، قائلاً إن المهاجم أودع NFTs من مجموعة تسمى Doodles. تم استخدام NFTs كضمان لاقتراض ETH المغلف (WETH).
ثم استغل المهاجم ثغرة إعادة الدخول من خلال سحب جميع NFTs المودعة كضمان باستثناء واحدة. هذا الفعل أثار وظيفة رد اتصال خبيثة لصالح المهاجم. سمحت هذه الوظيفة للمتسلل باستخدام الأموال المقترضة لشراء المزيد من رسومات الشعار المبتكرة قبل تصفية مركز القرض.
بمجرد تصفية المركز ، يتم إرجاع Doodle NFT المتبقية من الضمان الأصلي إلى المهاجم. تمت تصفية مركز القرض لأن قيمة NFT التي تم تركها في البداية كضمان قبل استدعاء وظيفة رد الاتصال لم تكن كافية لتغطية مركز الدين. هذا هو المكان الذي تأتي فيه العودة ، حيث يكون المهاجم قادرًا على استخدام WETH المقترض لشراء المزيد من NFTs قبل حدوث التصفية.
ثم استخدم المهاجم رسومات الشعار المبتكرة التي حصل عليها مع القرض الأولي كضمان لاقتراض المزيد من WETH. ومع ذلك ، لم يعترف أومني بموقف الدين الجديد هذا ، لذلك يمكن للمخترق سحب NFTs دون سداد القرض.
استنزف الهجوم أكثر من 1,300 WETH (1.4 مليون دولار) من البروتوكول. قال أومني إن الاستغلال لم يؤثر على أموال العملاء حيث تأثرت أموال الاختبار الداخلية فقط ، لأن النظام الأساسي لا يزال في وضع الاختبار التجريبي.
قالت منصة سوق المال NFT إنها أوقفت البروتوكول مؤقتًا في انتظار إجراء تحقيق كامل. تُظهر البيانات الواردة من Etherscan أن المستغل قد قام بالفعل بغسل الأموال عبر Tornado Cash، وهي خدمة خلط العملات للمعاملات الخاصة على Ethereum.
© 2022 The Block Crypto، Inc. جميع الحقوق محفوظة. يتم توفير هذه المقالة لأغراض إعلامية فقط. لا يُعرض أو يُقصد استخدامه كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni؟