不可替代的代幣平台(NFT) Omni 是導致損失1,300 wETH 的攻擊目標。也就是說,攻擊發生時大約有750 萬雷亞爾。
Omni 是一個貨幣市場,允許用戶在平台上質押他們的NFT——通常是來自Bored Ape Yacht Club (BAYC) 等流行收藏品的物品——以換取ETH 等代幣。
根據區塊鏈安全公司PeckShield 的說法,發生的事情是重新進入漏洞。
這似乎是一個與重入相關的黑客攻擊。 @ParallelFi @OMNI_xyz 被盜資金剛剛通過@TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq 混合
— PeckShield Inc. (@peckshield)2022 年7 月10 日
“看起來像是與重新進入相關的黑客攻擊。 ParallelFi 和OMNI_xyz,被盜資金是通過Tornado Cash 混合的,”該公司上週日(10) 發推文。
重新進入是一個漏洞,它允許惡意行為者強制你的智能合約對不受信任的合約進行外部調用。然後攻擊者使用這個外部調用多次“重新進入”協議並耗盡其流動性。
Omni 在其Twitter 帳戶上確認了該漏洞。然而,NFTs 平台聲稱此次攻擊並未影響客戶資金。
相反,只會丟失“內部測試”加密貨幣。那是因為該平台仍處於beta 測試模式。
此外,Omni 團隊表示已暫停Omni 協議,直到調查完成以及外部安全和審計公司審查此案。
開發細節
正如區塊鏈安全公司BlockSec 的CEO Yajin Zhou 向The Block 解釋的那樣,在這種情況下,攻擊者從一個名為Doodles 的集合中存放了Omni NFT。因此,他使用NFT 作為質押品來借入wETH。
有了貸款擔保,瀏覽器能夠取回除一個之外的所有塗鴉。這將導致債務取消。然後,由於平台上剩餘的Doodle 已經不足以償還債務,系統平倉並將最後一個NFT 退還給了瀏覽器。
根據Etherscan 的數據,瀏覽器已經通過Tornado Cash 洗錢,這是一種用於以太坊私人交易的加密混合服務。
對NFT 行業的攻擊
儘管NFT 行業在銷售方面正在放緩,但它仍然是加密貨幣市場中最活躍的行業之一。
因此,這使其成為黑客最喜歡的目標之一。最近,發生了幾起針對NFT 平台的攻擊。
例如,基於以太坊(ETH) 的NFT 借貸礦池XCarnival 在6 月底的一次黑客攻擊中損失了超過3,087 ETH(約2,000 萬雷亞爾)。
但是,正如CriptoFácil 報導的那樣,在攻擊發生大約12 小時後,XCarnival 設法與黑客談判以歸還被盜資金。
為此,它向攻擊者提供了1,500 ETH 的賞金,並承諾免除法律訴訟。黑客接受了團隊的提議,並將部分資金返還給了協議。
資訊來源:由0x資訊編譯自CRIPTOFACIL。版權歸作者Lorena Amaro所有,未經許可,不得轉載