Omni, акча рыногунун платформасы, жекшемби күнү 1,300 ETH (1.43 миллион доллар) үнөмдүү эмес токендер (NFT) кредиттик кайра кирүүгө кол салууда, боюнча PeckShield үчүн.
Omni колдонуучуларга эфир (ETH) сыяктуу токендерди алуу үчүн, адатта, Bored Ape Yacht Club сыяктуу популярдуу коллекциялардан NFT коюмдарын коюуга мүмкүндүк берет.
Бүгүнкү кол салууда хакер Omni протоколундагы reentrancy аялуулугун пайдаланганын көрдү. Reentrancy - бул Solidity менен коддолгон долбоорлордогу белгилүү аялуу, ал шылуун актерго өзүнүн акылдуу келишимин ишенимсиз келишимге тышкы чалуу жасоого мажбурлоого мүмкүндүк берет. Бул тышкы чалуу баштапкы функцияга чейин аткарылат жана ошону менен анын өтүмдүүлүгүн төгүү үчүн протоколго кайра-кайра киргизүү үчүн колдонулушу мүмкүн.
BlockSec блокчейн коопсуздук компаниясынын башкы директору Яжин Чжоу The Blockке эксплуатация процессин түшүндүрүп, чабуулчу Doodles деп аталган коллекциядан NFTтерди депозитке салганын айтты. Бул NFTs оролгон ETH (WETH) карыз күрөө катары колдонулган.
Андан кийин чабуулчу күрөө катары сакталган NFTтердин бирөөнөн башкасын алып салуу менен кайра кирүүнүн алсыздыгын пайдаланган. Бул акция себеби чабуулчунун пайдасына зыяндуу кайра чалуу функциясы. Бул функция хакерге кредиттик позицияны жоюудан мурун дагы көбүрөөк Doodles сатып алуу үчүн карызга алынган каражаттарды колдонууга мүмкүндүк берди.
Позиция жоюлгандан кийин, баштапкы күрөөдөн калган Doodle NFT чабуулчуга кайтарылып берилет. Кредиттик позиция жоюлган, анткени кайра чалуу функциясы иштетилгенге чейин алгач күрөө катары калтырылган NFTтин наркы карыздын ордун жабууга жетишсиз болгон. Бул жерде кайра киришүү пайда болот, анткени чабуулчу жоюу башталганга чейин карызга алынган WETHди көбүрөөк NFT сатып алууга мажбурлай алат.
Андан кийин кол салган адам WETH көбүрөөк карыз алуу үчүн баштапкы насыя менен алынган Doodles-ды күрөө катары колдонгон. Бирок Omni бул жаңы карыз позициясын тааныган жок, андыктан хакер насыяны төлөбөстөн NFTтерди алып салышы мүмкүн.
Кол салуу протоколдон 1,300 WETH (1.4 миллион доллар) ашык чыгым тартты. Omni билдиргендей, эксплуатация кардарлардын эч кандай каражаттарына таасирин тийгизген жок, анткени платформа дагы эле бета тестирлөө режиминде болгондуктан, ички тестирлөө каражаттары гана таасир эткен.
NFT акча рыногунун платформасы протоколду толук тергөөгө чейин токтотконун айтты. Etherscan маалыматтары эксплуататордун Ethereumдагы жеке транзакциялар үчүн монеталарды аралаштыруу кызматы Tornado Cash аркылуу акчаны адалдаганын көрсөтүп турат.
© 2022 The Block Crypto, Inc. Бардык укуктар корголгон. Бул макала маалыматтык максатта гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык же башка кеп-кеңеш катары колдонулбайт.
Булак: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss