Ethereum NFT

האקר גוזל ETH בשווי 1.4 מיליון דולר ממלווה NFT Omni

07/11/2022
חדשות Ethereum של ביטקוין

Omni, פלטפורמת שוק כספים ללא ניתוק (NFT), ירדה מכ-1,300 ETH (1.43 מיליון דולר) בהתקפת הלוואות בזק ביום ראשון, פי ל-PeckShield.

Omni מאפשר למשתמשים לסמן את ה-NFT שלהם, בדרך כלל מאוספים פופולריים כמו Bored Ape Yacht Club, כדי לקבל אסימונים כמו אתר (ETH). 

ההתקפה של היום ראתה את ההאקר מנצל פגיעות של כניסה חוזרת בפרוטוקול Omni. Reentrancy היא פגיעות ידועה בפרויקטים המקודדים עם Solidity המאפשרת לשחקן נוכל לכפות על החוזה החכם שלו לבצע קריאה חיצונית לחוזה לא מהימן. קריאה חיצונית זו מבוצעת לפני הפונקציה המקורית ובכך ניתן להשתמש בה כדי להזין שוב ושוב את הפרוטוקול כדי לנקז את הנזילות שלו.

Yajin Zhou, מנכ"ל חברת אבטחת הבלוקצ'יין BlockSec, הסביר ל-The Block את תהליך הניצול, ואמר כי התוקף הפקיד NFTs מאוסף בשם Doodles. NFTs אלה שימשו כבטוחה להשאלה ETH עטוף (WETH).

לאחר מכן, התוקף ניצל את פגיעות הכניסה מחדש על ידי משיכת כל ה-NFTs מלבד אחד שהופקדו כבטחונות. הפעולה הזו מופעל פונקציית התקשרות חוזרת זדונית לטובת התוקף. פונקציה זו אפשרה להאקר להשתמש בכספים שנשאלו כדי לקנות עוד יותר דודלים לפני חיסול עמדת ההלוואה.

לאחר חיסול הפוזיציה, ה-Doodle NFT שנותר מהבטחונות המקוריים מוחזר בחזרה לתוקף. פוזיציית ההלוואה מחוסלת מכיוון שערך ה-NFT שנותר בתחילה כבטוחה לפני הפעלת פונקציית החזרה לא הספיק לכיסוי עמדת החוב. כאן נכנסת הגישה החוזרת לתמונה, שכן התוקף מסוגל להשתמש ב-WETH המושאל בכוח כדי לקנות עוד NFTs לפני שהחיסול מתרחש.

לאחר מכן, התוקף השתמש בדודלים שנרכשו עם ההלוואה הראשונית כבטוחה כדי ללוות עוד WETH. עם זאת, אומני לא זיהה את עמדת החוב החדשה הזו, כך שההאקר יכול היה למשוך את ה-NFTs מבלי להחזיר את ההלוואה.

המתקפה גררה יותר מ-1,300 WETH (1.4 מיליון דולר) מהפרוטוקול. אומני אמר כי הניצול לא השפיע על כל כספי לקוח מכיוון שרק קרנות בדיקה פנימיות הושפעו, מכיוון שהפלטפורמה עדיין במצב בדיקות בטא.

פלטפורמת שוק הכסף של NFT אמרה שהיא השהתה את הפרוטוקול עד לחקירה מלאה. נתונים מאתרסקאן מראים שהמנצל כבר הלבין את הכספים באמצעות Tornado Cash, שירות ערבוב מטבעות לעסקאות פרטיות ב-Ethereum.

© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.

מקור: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss