A OMNI – uma plataforma de financiamento NFT que empresta criptomoedas em troca de NFTs apostados – foi vítima de uma exploração de reentrada que levou à perda de quase 1,300 ETH, no valor de US$ 1.4 milhão na época.
Parece um hack relacionado à reentrada. @ParallelFi @OMNI_xyz Os fundos roubados foram apenas misturados via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
- PeckShield Inc. (@peckshield) 10 de julho de 2022
Dívidas incobráveis devido a código inválido
O projeto em questão perdeu os fundos após uma aposta de má fé de NFTs da coleção Doodle. Para realizar o ataque, o agressor primeiro depositou Doodles como garantia de um empréstimo de ETH embrulhado (wETH). Uma vez que o empréstimo foi garantido, o explorador conseguiu retirar todos os Doodles, exceto um, causando uma função de retorno de chamada que anulou a dívida adquirida pelo aquisitivo nós.
Concluídas essas duas etapas, o Doodle que restava na plataforma não era mais suficiente para cobrir a dívida contraída. A posição foi então liquidada pelo sistema, devolvendo o último dos Doodles ao atacante também.
Sem chance para um apelo de chapéu branco
Na esteira dos recentes ataques ao DeFi, os desenvolvedores recentemente explorados muitas vezes fizeram apelos abertos para aqueles por trás do hack, oferecendo-se para considerá-los como um evento de chapéu branco em troca da maioria ou de todos os fundos roubados.
Em alguns casos, isso funcionou bem – o explorador do Optimism, por exemplo, devolveu a maior parte dos fundos depois de pedir o conselho de Vitalik Buterin. Os desenvolvedores da Harmony recentemente tentaram a mesma abordagem, mas foram sumariamente ignoradas quando a lavagem dos tokens roubados começou.
Nesse caso, o recurso nunca teve chance de ser feito, pois o agressor imediatamente enviei seu recém-apropriado wETH para o Tornado, um serviço de mixagem que ofusca a origem dos fundos. Devido a essa capacidade, é frequentemente usado por cibercriminosos que tentam lavar ganhos ilícitos.
Protocolo OMNI suspenso
O protocolo OMNI – ainda em beta – foi encerrado pelos desenvolvedores responsáveis, com auditorias pendentes e patches de segurança. Além disso, os desenvolvedores da OMNI confirmaram que nenhum fundo de cliente foi afetado pela exploração, indicador que os wETH desviados eram “fundos de testes internos”.
“OMNI ainda está em testes (beta). Nenhum fundo de cliente foi perdido, apenas fundos de testes internos foram afetados! Suspendemos o protocolo OMNI até concluirmos a investigação e revisarmos tudo novamente por empresas externas de segurança e auditoria.”
Infelizmente para os desenvolvedores e fãs do projeto, parece que o OMNI terá que permanecer na versão beta por mais tempo do que o planejado anteriormente.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas do Binance Futures no primeiro mês (condições).
Oferta especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/nft-platform-omni-hit-by-re-entrancy-exploit-lost-1-4m-in-eth/