Het niet-fungible token (NFT)-platform, Omni werd gehackt voor 1,300 ether (ETH) ($ 1.43 miljoen) toen de hacker misbruik maakte van het kwetsbaarheidsprotocol voor herintreding van het bedrijf, volgens PeckShield.
Met het NFT-geldmarktplatform kunnen gebruikers hun NFT's op het platform inzetten, normaal gesproken open staking voor populaire collecties zoals Bored Ape Yacht Club, om tokens zoals ETH te ontvangen.
Hoewel de hacker in staat was meer dan 1,300 wETH ($ 1.4 miljoen), de ERC20 verhandelbare versie van ETH, leeg te pompen, verklaarde Omni dat de diefstal geen gevolgen had voor het geld van klanten. Het bedrijf voegde eraan toe dat alleen interne testfondsen werden getroffen, aangezien het platform zich nog in de bètatestmodus bevindt.
Het protocol is opgeschort voor een volledig onderzoek, aldus het bedrijf NFT.
Volgens The Block zijn projecten gecodeerd met Stevigheid zijn kwetsbaar voor herintreding. Hiermee kunnen hackers hun slimme contract dwingen om extern te bellen naar een niet-vertrouwd contract.
Voor deze aard van de hack vertelde Yajin Zhou - CEO van blockchain-beveiligingsbedrijf BlockSec - aan The Block dat de hacker NFT's heeft gedeponeerd uit een verzameling genaamd Doodles, die werden gebruikt om verpakte ETH (WETH) te lenen, tokenized versies van cryptocurrencies die zijn gekoppeld aan de waarde van de originele munt.
Na de storting en liquidatie van de positie, wordt de resterende Doodle NFT van het oorspronkelijke onderpand teruggegeven aan de aanvaller.
Zhou voegde eraan toe dat hackers vaak de leningspositie liquideren omdat de waarde van de NFT die als onderpand is achtergelaten voordat de callback-functie werd ingeroepen, niet voldoende is om de schuldpositie te dekken. Om dit aan te pakken, vertrouwen hackers meestal op herintreding, omdat ze geleende WETH kunnen gebruiken om meer NFT's te kopen voordat de liquidatie plaatsvindt.
Verder voegde Zhou eraan toe dat de hacker vervolgens de Doodles NFT die hij met de initiële lening had verkregen als onderpand gebruikte om meer WETH te lenen. Omdat Omni deze nieuwe positie echter niet had herkend, kon de hacker de NFT's intrekken zonder de lening terug te betalen.
Volgens The Block blijkt uit gegevens van Etherscan dat de aanvaller het geld al heeft witgewassen via een muntmengservice voor privétransacties op Ethereum genaamd TornadoCash.
Afbeeldingsbron: Shutterstock
Bron: https://blockchain.news/news/nft-lender-omni-hacked-for-1300-eth