Omni-ը՝ փողի շուկայի չփոխարինելի նշան (NFT) հարթակը, կիրակի օրը սպառվել է մոտ 1,300 ETH (1.43 միլիոն դոլար) արագ վարկի վերադարձի հարձակման արդյունքում: ըստ դեպի PeckShield:
Omni-ն օգտատերերին թույլ է տալիս խաղադրույք կատարել իրենց NFT-ները, սովորաբար հայտնի հավաքածուներից, ինչպիսին է Bored Ape Yacht Club-ը, որպեսզի ստանան եթերի (ETH) նման նշաններ:
Այսօրվա հարձակումը տեսավ, որ հաքերն օգտվեց Omni արձանագրության վերագրանցման խոցելիությունից: Reentrancy-ը հայտնի խոցելիություն է Solidity-ով կոդավորված նախագծերում, որը թույլ է տալիս խարդախ դերասանին ստիպել իր խելացի պայմանագրին արտաքին զանգ կատարել անվստահելի պայմանագրին: Այս արտաքին զանգը կատարվում է սկզբնական ֆունկցիայից առաջ և, հետևաբար, կարող է օգտագործվել արձանագրություն բազմիցս նորից մուտք գործելու համար՝ դրա իրացվելիությունը սպառելու համար:
Բլոկչեյն անվտանգության BlockSec ընկերության գործադիր տնօրեն Յաջին Չժուն The Block-ին բացատրել է շահագործման գործընթացը՝ ասելով, որ հարձակվողը NFT-ներ է պահում Doodles կոչվող հավաքածուից: Այս NFT-ները օգտագործվել են որպես գրավ՝ փաթաթված ETH (WETH) փոխառելու համար:
Այնուհետև հարձակվողը շահագործեց վերադարձի խոցելիությունը՝ հանելով որպես գրավ դրված բոլոր NFT-ները, բացառությամբ մեկի: Այս գործողությունը հրահրված հետադարձ կապի չարամիտ գործառույթ՝ հօգուտ հարձակվողի: Այս գործառույթը թույլ է տվել հաքերին օգտագործել փոխառված միջոցները՝ ավելի շատ Doodle գնելու համար՝ նախքան վարկի դիրքը լուծարելը։
Պաշտոնը լուծարվելուց հետո սկզբնական գրավից մնացած Doodle NFT-ը հետ է վերադարձվում հարձակվողին: Վարկի դիրքը լուծարվում է, քանի որ NFT-ի արժեքը, որն ի սկզբանե որպես գրավ էր թողնվել նախքան հետադարձ կապի գործառույթը կիրառելը, բավարար չէր պարտքի դիրքը ծածկելու համար: Այստեղ է, որ վերագրանցումը գալիս է, քանի որ հարձակվողը կարող է ստիպել օգտագործել փոխառված WETH-ն ավելի շատ NFT գնել նախքան լուծարումը:
Այնուհետև հարձակվողն օգտագործել է նախնական վարկով ձեռք բերված Doodles-ը որպես գրավ՝ ավելի շատ WETH փոխառելու համար: Omni-ն, այնուամենայնիվ, չճանաչեց պարտքի այս նոր դիրքը, ուստի հաքերը կարող էր հանել NFT-ները՝ առանց վարկը վերադարձնելու:
Հարձակումը արձանագրությունից դուրս բերեց ավելի քան 1,300 WETH (1.4 միլիոն դոլար): Omni-ն ասաց, որ շահագործումը չի ազդել հաճախորդների ոչ մի միջոցների վրա, քանի որ ազդել են միայն ներքին փորձարկման միջոցների վրա, քանի որ հարթակը դեռևս բետա թեստավորման ռեժիմում է:
NFT դրամական շուկայի հարթակը հայտնել է, որ դադարեցրել է արձանագրությունը՝ մինչև ամբողջական հետաքննություն: Etherscan-ի տվյալները ցույց են տալիս, որ շահագործողն արդեն լվացել է միջոցները Tornado Cash-ի միջոցով, որը մետաղադրամների խառնման ծառայություն է Ethereum-ում մասնավոր գործարքների համար:
© 2022 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss