$1.4M I ETH förlorade efter att hackare utnyttjade NFT-plattformen OMNI
- Ungefär 1 300 ETH ($1,4 miljoner) gick förlorade efter att angripare utnyttjade OMNI
- Projektet, som fortfarande är i BETA-fasen, har blivit avstängd
På söndagen attackerades NFT-finansieringsplattformen OMNI, vilket ledde till en förlust på 1 300 Ether (ETH), värd cirka $1,4 miljoner vid tiden för exploateringen.
OMNI, som lånar ut kryptovalutor i utbyte mot NFT-insats, förlorat medlen efter ond tro NFT-insats från Doodle-samlingen. Angriparen deponerade först Doodles som säkerhet för att låna ut inpackad ETH (wETH). Efter att ha säkrat lånet drog de tillbaka alla doodles utom en, vilket resulterade i en återuppringningsfunktion som annullerade skulden efter återinträdespunkten. Detta gjorde den lånade ETH till en osäkra skuld som angriparen inte var skyldig att betala.
När angriparen väl var klar med dessa två steg, räckte den enda Doodle som fanns kvar på plattformen inte längre för att täcka den uppkomna skulden. Systemet likviderade positionen, vilket lämnade den återstående Doodle i händerna på angriparen också.
OMNI-protokollavstängning
De ansvariga utvecklarna har stoppat NFT-protokollet, som redan var i betastadiet, medan de genomför revisioner och tillämpar säkerhetsuppdateringar. Dessutom avslöjade OMNI att hacket inte påverkade några användarmedel, vilket indikerar att det stulna WETH var "interna testmedel."
"OMNI testar fortfarande (beta). Inga kundmedel gick förlorade; endast interna testmedel påverkades! Vi har avbrutit OMNI-protokollet tills vi slutför utredningen och får allt granskat igen av externa säkerhets- och revisionsbyråer.”
stod det
Ingen möjlighet till direkt överklagande
Med ökande DeFi-attacker, vädjar attackerade utvecklare idag ofta direkt till hackarna och lovar att acceptera dem som en white-hat-händelse i utbyte mot att majoriteten eller alla medel återlämnas. Detta har tidvis gått bra; till exempel återbetalade Optimismexploatören majoriteten av pengarna efter att ha sökt Vitalik Buterins råd.
OMNI fick dock aldrig en chans att överklaga, eftersom undersökningen av PeckShield avslöjar att de återinträdesrelaterade angriparna blandade de stulna medlen via det decentraliserade protokollet TornadoCash, en blandningstjänst som fördunklar medlens ursprung. Med hjälp av detta tvättade angriparna alla stulna vinster.