Omni, ແພລະຕະຟອມຕະຫຼາດເງິນທີ່ບໍ່ fungible token (NFT), ໄດ້ຖືກຖອນອອກປະມານ 1,300 ETH (1.43 ລ້ານໂດລາ) ໃນການໂຈມຕີເງິນກູ້ຄືນໃຫມ່ໃນວັນອາທິດ, ຕາມ ກັບ PeckShield.
Omni ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດຖືຫຸ້ນ NFTs ຂອງເຂົາເຈົ້າ, ໂດຍປົກກະຕິຈາກການເກັບກໍາທີ່ນິຍົມເຊັ່ນ: Bored Ape Yacht Club, ເພື່ອຮັບ tokens ເຊັ່ນ ether (ETH).
ການໂຈມຕີໃນມື້ນີ້ເຫັນວ່າແຮກເກີໃຊ້ຊ່ອງໂຫວ່ຄືນໃຫມ່ໃນ Omni protocol. Reentrancy ເປັນຊ່ອງໂຫວ່ທີ່ຮູ້ຈັກໃນໂຄງການທີ່ຂຽນລະຫັດດ້ວຍ Solidity ທີ່ອະນຸຍາດໃຫ້ນັກສະແດງທີ່ຫຼອກລວງສາມາດບັງຄັບສັນຍາສະຫຼາດຂອງຕົນໃຫ້ໂທຫາພາຍນອກກັບສັນຍາທີ່ບໍ່ເຊື່ອຖືໄດ້. ການໂທພາຍນອກນີ້ຖືກປະຕິບັດກ່ອນໜ້າທີ່ເດີມ ແລະດັ່ງນັ້ນຈຶ່ງສາມາດຖືກໃຊ້ເພື່ອເຂົ້າໂປຣໂຕຄໍຊ້ຳໆອີກຄັ້ງເພື່ອລະບາຍສະພາບຄ່ອງຂອງມັນ.
Yajin Zhou, ຊີອີໂອຂອງບໍລິສັດຄວາມປອດໄພ blockchain BlockSec, ໄດ້ອະທິບາຍເຖິງຂະບວນການຂຸດຄົ້ນ The Block, ໂດຍກ່າວວ່າຜູ້ໂຈມຕີໄດ້ຝາກ NFTs ຈາກການເກັບກໍາທີ່ເອີ້ນວ່າ Doodles. NFTs ເຫຼົ່ານີ້ໄດ້ຖືກນໍາໃຊ້ເປັນຫຼັກຊັບຄໍ້າປະກັນເພື່ອກູ້ຢືມຫໍ່ ETH (WETH).
ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີໄດ້ຂູດຮີດຊ່ອງໂຫວ່ຄືນໃຫມ່ໂດຍການຖອນອອກທັງຫມົດແຕ່ຫນຶ່ງໃນ NFTs ທີ່ຝາກໄວ້ເປັນຫຼັກຊັບຄໍ້າປະກັນ. ການກະທຳນີ້ triggered ຟັງຊັນໂທຄືນທີ່ເປັນອັນຕະລາຍເພື່ອຜົນປະໂຫຍດຂອງຜູ້ໂຈມຕີ. ຟັງຊັນນີ້ອະນຸຍາດໃຫ້ແຮກເກີໃຊ້ເງິນກູ້ຢືມເພື່ອຊື້ Doodles ຫຼາຍກວ່າເກົ່າກ່ອນທີ່ຈະຊໍາລະເງິນກູ້ຢືມ.
ເມື່ອຕໍາແຫນ່ງຖືກຊໍາລະແລ້ວ, Doodle NFT ທີ່ຍັງເຫຼືອຈາກຫລັກປະກັນເດີມຈະຖືກສົ່ງກັບຄືນໄປຫາຜູ້ໂຈມຕີ. ຕໍາແຫນ່ງເງິນກູ້ຖືກຊໍາລະຍ້ອນມູນຄ່າຂອງ NFT ທີ່ຖືກປະໄວ້ໃນຕອນຕົ້ນເປັນຫຼັກຊັບຄໍ້າປະກັນກ່ອນທີ່ຈະມີຫນ້າທີ່ເອີ້ນຄືນແມ່ນບໍ່ພຽງພໍທີ່ຈະກວມເອົາຕໍາແຫນ່ງຫນີ້ສິນ. ນີ້ແມ່ນບ່ອນທີ່ການ retrancy ເຂົ້າມາ, ຍ້ອນວ່າຜູ້ໂຈມຕີສາມາດບັງຄັບໃຊ້ WETH ທີ່ຢືມມາເພື່ອຊື້ NFTs ເພີ່ມເຕີມກ່ອນທີ່ຈະຊໍາລະເງິນເກີດຂື້ນ.
ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີໄດ້ໃຊ້ Doodles ທີ່ໄດ້ມາດ້ວຍການກູ້ຢືມເບື້ອງຕົ້ນເປັນຫຼັກຊັບຄໍ້າປະກັນເພື່ອກູ້ຢືມ WETH ຫຼາຍ. ຢ່າງໃດກໍຕາມ, Omni ບໍ່ໄດ້ຮັບຮູ້ຕໍາແຫນ່ງຫນີ້ສິນໃຫມ່ນີ້, ດັ່ງນັ້ນແຮກເກີສາມາດຖອນ NFTs ໂດຍບໍ່ມີການຈ່າຍຄືນເງິນກູ້ຢືມ.
ການໂຈມຕີຄັ້ງນີ້ໄດ້ເອົານ້ຳເສຍຫຼາຍກວ່າ 1,300 WETH (1.4 ລ້ານໂດລາສະຫະລັດ) ອອກຈາກພິທີການ. Omni ກ່າວວ່າການຂຸດຄົ້ນບໍ່ມີຜົນກະທົບຕໍ່ກອງທຶນລູກຄ້າໃດໆຍ້ອນວ່າພຽງແຕ່ກອງທຶນການທົດສອບພາຍໃນໄດ້ຮັບຜົນກະທົບ, ເພາະວ່າແພລະຕະຟອມຍັງຢູ່ໃນໂຫມດການທົດສອບເບຕ້າ.
ແພລະຕະຟອມຕະຫຼາດເງິນ NFT ກ່າວວ່າມັນໄດ້ຢຸດພິທີການຊົ່ວຄາວລໍຖ້າການສືບສວນຢ່າງສົມບູນ. ຂໍ້ມູນຈາກ Etherscan ສະແດງໃຫ້ເຫັນວ່າຜູ້ຂູດຮີດໄດ້ຟອກເງິນແລ້ວໂດຍຜ່ານ Tornado Cash, ບໍລິການປະສົມຫຼຽນສໍາລັບການເຮັດທຸລະກໍາສ່ວນຕົວໃນ Ethereum.
© 2022 The Block Crypto, Inc. ສະຫງວນລິຂະສິດທຸກປະການ. ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.
ທີ່ມາ: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss