Omni, үл хэрэглэгдэх токен (NFT) мөнгөний зах зээлийн платформ нь ням гарагт болсон зээлийн эргэн төлөлтийн халдлагад 1,300 ETH (1.43 сая доллар) зарцуулсан байна. дагуу PeckShield руу.
Omni нь хэрэглэгчдэд эфир (ETH) гэх мэт жетон хүлээн авахын тулд ихэвчлэн Bored Ape Yacht Club зэрэг алдартай цуглуулгуудаас NFT-ээ бооцоо тавих боломжийг олгодог.
Өнөөдрийн халдлага нь хакер Omni протокол дахь дахин нэвтрэх сул талыг ашиглаж байгааг харсан. Reentrancy нь Solidity-ээр кодлогдсон төслүүдэд мэдэгдэж байгаа эмзэг байдал бөгөөд хуурамч жүжигчид ухаалаг гэрээгээ хүчээр найдвартай бус гэрээ рүү гадны дуудлага хийх боломжийг олгодог. Энэхүү гадаад дуудлага нь анхны функцээс өмнө хийгдэх бөгөөд ингэснээр хөрвөх чадварыг нь шавхахын тулд протоколыг дахин дахин оруулахад ашиглаж болно.
Блокчейн аюулгүй байдлын BlockSec компанийн гүйцэтгэх захирал Яжин Жоу The Block-д мөлжлөгийн үйл явцыг тайлбарлаж, халдагчид Doodles нэртэй цуглуулгаас NFT хадгалуулсан гэж мэдэгдэв. Эдгээр NFT-үүдийг боодолтой ETH (WETH) зээлэхийн тулд барьцаа болгон ашигласан.
Халдагчид дараа нь барьцаанд хадгалуулсан NFT-ийн нэгээс бусад бүх зүйлийг эргүүлэн татах замаар дахин нэвтрэх эмзэг байдлыг ашигласан. Энэ үйлдэл өдөөгдсөн халдагчийн ашиг тусын тулд хорлонтой буцаан залгах функц. Энэ функц нь хакерт зээлсэн мөнгөө ашиглан зээлийн байр сууриа татан буулгахаас өмнө илүү олон Doodle худалдаж авах боломжийг олгосон.
Албан тушаалыг татан буулгасны дараа анхны барьцаанаас үлдсэн Doodle NFT-ийг халдагчид буцааж өгнө. Буцаан дуудах функцийг эхлүүлэхээс өмнө барьцаанд үлдээсэн NFT-ийн үнэ нь өрийн байр суурийг нөхөхөд хангалтгүй байсан тул зээлийн байр суурийг татан буулгасан. Халдагчид татан буулгахаас өмнө зээлсэн WETH-г ашиглан илүү олон NFT худалдаж авах боломжтой байдаг тул дахин нэвтрэх эрх энд гарч ирдэг.
Дараа нь халдлага үйлдэгч эхний зээлээр авсан Doodles-ийг WETH-ээс илүү зээлэхийн тулд барьцаа болгон ашигласан. Гэсэн хэдий ч Omni энэ өрийн шинэ байр суурийг хүлээн зөвшөөрөөгүй тул хакер зээлээ төлөхгүйгээр NFTs-ийг буцааж авах боломжтой байв.
Халдлага нь протоколоос 1,300 гаруй WETH (1.4 сая доллар) зарцуулсан. Платформ нь бета туршилтын горимд байгаа тул зөвхөн дотоод туршилтын санд нөлөөлсөн тул мөлжлөг нь хэрэглэгчийн ямар ч санд нөлөөлөөгүй гэж Omni хэлэв.
NFT мөнгөний зах зээлийн платформ нь бүрэн мөрдөн байцаалтын ажиллагаа дуусах хүртэл протоколыг түр зогсоосон гэж мэдэгдэв. Etherscan-аас авсан мэдээллээс харахад мөлжигч нь Ethereum дээрх хувийн гүйлгээнд зориулсан зоос холих үйлчилгээ болох Tornado Cash-ээр дамжуулан мөнгө угаасан байна.
© 2022 The Block Crypto, Inc. Бүх эрх хуулиар хамгаалагдсан. Энэхүү нийтлэлийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Үүнийг хууль, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглахыг зөвлөдөггүй.
Эх сурвалж: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss