1300枚ETH被盗！NFT借贷平台Omni遭黑客攻击损失143万美元

据悉，非同质化代币（NFT）借贷平台Omni上周日遭受黑客攻击，损失约1300枚以太币（ETH） ，价值143万美元。
不负久待，荣耀而来！零界财经 2022年度商业大奖于今日正式启幕
Omni允许用户在其平台上质押来自Bored Ape Yacht Club等的流行藏品来接收以太币等代币。
在昨日的网络攻击中，黑客利用了Omni协议中的一个重入漏洞。重入漏洞是Solidity 编码的项目中的一个已知漏洞，黑客可利用该漏洞强制其智能合约调用外部不安全的合约，迫使合约执行进一步的代码导致重新进入逻辑。
区块链安全公司BlockSec首席执行官Yajin Zhou解释了该漏洞的利用过程，他表示，黑客将他在NFT集合涂鸦（Doodles）中的藏品作为抵押来借用包装以太币（WETH）。
然后，黑客利用重入漏洞，提取了作为抵押品存放的NFT，只保留一个。该操作触发了恶意回调函数，让黑客得以在清算程序发生之前强行使用借来的WETH购买更多的NFT，帮黑客达到攻击目的。等到头寸被平仓，原始抵押品中剩余的涂鸦NFT将返还到黑客账户中。
之后，攻击者使用初始贷款购买的Doodles NFT作为抵押品借入更多WETH。然而，Omni并没有识别到这个新的债务头寸，因此黑客可以在不偿还贷款的情况下撤回抵押的NFT。
本次攻击从Omni抽走了1300枚WETH（合140万美元）。该平台表示，该漏洞不会影响任何客户资金，因为该平台仍处于beta测试阶段，只有内部测试资金受到了影响。
Omni表示，它已暂停运作，等待全面调查。根据去中心化智能合约平台Etherscan的数据，黑客已通过可用于私人交易的混合协议龙卷风现金(Tornado Cash)进行了洗钱。
来源：The Block