Суббота, 20 августа, 2022
ДомойКриптовалютаХакер украл $1,4 миллиона у NFT-кредитора Omni

Хакер украл $1,4 миллиона у NFT-кредитора Omni

По данным PeckShield, кредитная NFT-платформа Omni из-за атаки хакера лишилась 1300 ETH на сумму около $1,43 миллиона

Omni предоставляет пользователям возможность стекинга NFT из популярных коллекций (например Bored Ape Yacht Club) и вознаграждает их за это в ETH.

В ходе атаки хакер использовал уязвимость реентерабельности в протоколе Omni (известная уязвимость в написанных с помощью Solidity проектах, которая позволяет хакеру заставить смарт-контракт выполнить внешний вызов непроверенного контракта).

Генеральный директор компании в области блокчейн-безопасности BlockSec Яджин Чжоу заявил, что хакер депонировал NFT из коллекции под названием Doodles. Эти NFT использовались в качестве залога для заимствования токенизированных ETH (WETH).

Затем хакер воспользовался уязвимостью, выведя все депонированные в качестве залога NFT, кроме одного. Данное действие активировало вредоносную функцию обратного вызова в интересах хакера, что дало ему возможность использовать заемные средства для покупки еще большего количества Doodles, прежде чем ликвидировать кредитную позицию.

После ликвидации позиции оставшаяся часть Doodle из исходного обеспечения возвращается хакеру. Кредитная позиция ликвидируется, потому что стоимость оставленного в качестве залога NFT до вызова функции обратного вызова была недостаточной для покрытия долговой позиции. Именно здесь возникает реентерабельность, так как хакер может использовать заимствованный WETH для покупки большего количества NFT до процесса ликвидации.

Далее хакер использовал полученные с помощью первоначального кредита Doodles в качестве залога, чтобы занять больше WETH. Однако Omni не распознал новую долговую позицию, поэтому хакер смог вывести NFT, не возвращая кредит.

Атака лишила протокол более 1300 WETH. По словам проекта, эксплойт не затронул средства клиентов, так как пострадали только выделенные для тестирования средства (платформа все еще находится в режиме бета-тестирования).

Omni приостановила работу протокола до завершения расследования. Согласно данным Etherscan, хакер уже отмыл средства через миксер Tornado Cash.


Подписывайся на канал BitcoinTalk.com in Telegram — всегда свежие новости и обзор рынка

Иван Доренков
Программист, немного веб-дизайнер, немного блогер. С криптовалютами познакомился в 2015 году. Первая инвестиция в $200 таинственно исчезла вместе с многообещающим стартапом и его разработчиками. С тех пор Иван внимательно следит за рынком криптовалют, и инвестирует только в проверенные проекты, которых пока очень мало. Спортсмен, геймер, гурман, горе-инвестор
Вас также заинтересуют такие новости:

КУРС КРИПТОВАЛЮТ

Свежие новости