据悉,非同质化代币(NFT)借贷平台Omni上周日遭受黑客攻击,损失约1300枚以太币(ETH) ,价值143万美元。
不负久待,荣耀而来!零界财经 2022年度商业大奖于今日正式启幕
Omni允许用户在其平台上质押来自Bored Ape Yacht Club等的流行藏品来接收以太币等代币。
在昨日的网络攻击中,黑客利用了Omni协议中的一个重入漏洞。重入漏洞是Solidity 编码的项目中的一个已知漏洞,黑客可利用该漏洞强制其智能合约调用外部不安全的合约,迫使合约执行进一步的代码导致重新进入逻辑。
区块链安全公司BlockSec首席执行官Yajin Zhou解释了该漏洞的利用过程,他表示,黑客将他在NFT集合涂鸦(Doodles)中的藏品作为抵押来借用包装以太币(WETH)。
然后,黑客利用重入漏洞,提取了作为抵押品存放的NFT,只保留一个。该操作触发了恶意回调函数,让黑客得以在清算程序发生之前强行使用借来的WETH购买更多的NFT,帮黑客达到攻击目的。等到头寸被平仓,原始抵押品中剩余的涂鸦NFT将返还到黑客账户中。
之后,攻击者使用初始贷款购买的Doodles NFT作为抵押品借入更多WETH。然而,Omni并没有识别到这个新的债务头寸,因此黑客可以在不偿还贷款的情况下撤回抵押的NFT。
本次攻击从Omni抽走了1300枚WETH(合140万美元)。该平台表示,该漏洞不会影响任何客户资金,因为该平台仍处于beta测试阶段,只有内部测试资金受到了影响。
Omni表示,它已暂停运作,等待全面调查。根据去中心化智能合约平台Etherscan的数据,黑客已通过可用于私人交易的混合协议龙卷风现金(Tornado Cash)进行了洗钱。
来源:The Block