$1.4M em ETH perdido após hackers explorarem a plataforma NFT OMNI
- Aproximadamente 1.300 ETH ($1,4 milhão) foram perdidos depois que os invasores exploraram o OMNI
- O projeto, que ainda está em fase BETA, foi suspenso
No domingo, a plataforma de financiamento NFT OMNI foi atacada, levando a uma perda de 1.300 Ether (ETH), no valor de cerca de $1,4 milhão no momento da exploração.
OMNI, que empresta criptomoedas em troca de staking NFT, perdeu os fundos após apostas de má fé NFT da coleção Doodle. O invasor primeiro depositou Doodles como garantia para emprestar ETH encapsulado (wETH). Depois de garantir o empréstimo, eles retiraram todos os rabiscos, exceto um, resultando em uma função de retorno de chamada que cancelou a dívida após o ponto de reentrada. Isso tornou o ETH emprestado uma dívida incobrável que o invasor não precisava pagar.
Uma vez que o invasor terminou essas duas etapas, o único Doodle que restava na plataforma não era mais suficiente para cobrir a dívida incorrida. O sistema liquidou a posição, o que deixou o Doodle restante nas mãos do atacante também.
Suspensão do protocolo OMNI
Os desenvolvedores responsáveis suspenderam o protocolo NFT, que já estava em fase beta, enquanto realizam auditorias e aplicam atualizações de segurança. Além disso, a OMNI revelou que o hack não afetou nenhum fundo de usuário, indicando que os wETH roubados eram “fundos de testes internos”.
“OMNI ainda está em testes (beta). Nenhum fundo de cliente foi perdido; apenas os fundos de testes internos foram afetados! Suspendemos o protocolo OMNI até concluirmos a investigação e revisarmos tudo novamente por empresas externas de segurança e auditoria.”
declarou
Sem chance de recurso direto
Com o aumento dos ataques DeFi, os desenvolvedores atacados atualmente fazem apelos diretos aos hackers, prometendo aceitá-los como um evento de chapéu branco em troca da maioria ou de todos os fundos devolvidos. Isso ocasionalmente saiu bem; por exemplo, o explorador do Optimism devolveu a maior parte do dinheiro depois de procurar o conselho de Vitalik Buterin.
No entanto, a OMNI nunca teve a chance de fazer um apelo, pois a investigação do PeckShield revela que os invasores relacionados à reentrada misturaram os fundos roubados por meio do protocolo descentralizado TornadoCash, um serviço de mistura que ofusca a origem dos fundos. Usando isso, os atacantes lavaram todos os ganhos roubados.