ハッカーがNFTプラットフォームOMNIを悪用した後に失われたETHの$1.4M
- 攻撃者がOMNIを悪用した後、約1,300 ETH($140万)が失われました
- まだベータ段階にあるプロジェクトは、 中断されています
日曜日に、NFTファイナンスプラットフォームOMNIが攻撃され、エクスプロイトの時点で約$140万に相当する1,300イーサリアム(ETH)が失われました。
NFTステーキングと引き換えに暗号通貨を貸し出すOMNI、 資金を失った Doodleコレクションからの悪意のあるNFTステーキングに続いて。攻撃者は最初に、ラップされたETH(wETH)を貸すための担保としてDoodleを預けました。ローンを確保した後、1つを除くすべてのDoodleを撤回した結果、リエントラントポイント後に債務をキャンセルするコールバック関数が作成されました。これにより、借りたETHは、攻撃者が支払う必要のない不良債権になりました。
攻撃者がこれらの2つの手順を完了すると、プラットフォームに残っているDoodleだけでは、発生した債務をカバーするのに十分ではなくなりました。システムはポジションを清算し、残りのDoodleも攻撃者の手に委ねられました。
OMNIプロトコルの一時停止
担当の開発者は、監査を実施してセキュリティ更新を適用している間、すでにベータ段階にあったNFTプロトコルを一時停止しました。さらに、OMNIは、ハッキングがユーザー資金に影響を与えなかったことを明らかにしました。これは、盗まれたwETHが「内部テスト資金」であることを示しています。
「OMNIはまだテスト中です(ベータ版)。顧客の資金は失われませんでした。内部テスト資金のみが影響を受けました!調査が完了し、外部のセキュリティおよび監査会社によってすべてが再度レビューされるまで、OMNIプロトコルを一時停止しました。」
それは述べた
直接訴える機会はない
最近のDeFi攻撃の増加に伴い、攻撃を受けた開発者はハッカーに直接訴えることが多く、返還された資金の大部分またはすべてと引き換えに、ハッカーをホワイトハットイベントとして受け入れることを約束しています。これは時々うまくいきました。たとえば、楽観主義の搾取者は、ヴィタリック・ブテリンのアドバイスを求めた後、現金の大部分を返金しました。
しかし、PeckShieldの調査により、リエントラント関連の攻撃者が、資金の出所をわかりにくくする混合サービスである分散型プロトコルTornadoCashを介して盗まれた資金を混合したことが明らかになったため、OMNIは訴える機会を得ることはありませんでした。これを使用して、攻撃者は盗まれたすべての利益をロンダリングしました。