ایستگاه خبر

پروتکل ان‌اف‌تی OMNI در یک حملۀ ورود-مجدد ۱.۴ میلیون دلار آسیب دید

پروتکل وام‌دهی مبتنی بر توکن‌های غیرقابل تعویض OMNI هدف یک حملۀ ورود-مجدد قرار گرفت و تقریبا ۱۳۰۰ واحد ETH، معادل با ۱.۴ میلیون دلار، آسیب دید.

خطای کدنویسی عامل این حمله بود

OMNI براساس NFTهای استیک شده در پلتفرم خود به کاربران خدمات وام‌دهی ارائه می‌کند. حملۀ مذکور به دلیل خطای استیکینگ مجموعه NFTهای Doodle رخ داد که در آن هکر با سپرده‌گذاری Doodleها به‌ عنوان وثیقه توانست وام wETH دریافت کند. وی به محض دراختیار گرفتن wETH شروع به برداشت تمام Doodleها کرد و تنها یک واحد از آن‌ها را در حساب خود نگه داشت، این عمل به اجرای «تابع callback» دامن زد و اعتبار وام خریداری شده با wETH را باطل ساخت. با کاهش تعداد Doodleهای موجود، پلتفرم قادر به پوشش بدهی وارد شده نبود و موقعیت‌های مبادلاتی را منحل کرد.

پروتکل ان‌اف‌تی OMNI در یک حملۀ ورود-مجدد 1.4 میلیون دلار آسیب دید

هیچ هکر کلاه سفیدی مسئول این حمله نیست

قربانیانِ برخی از حملات جدید پلتفرم‌‌های امورمالی غیرمتمرکز (DeFi) سعی داشته‌اند تا با برقراری تماس با فرد مهاجم وی را یک هکر کلاه سفید تصور کرده و پاداشی جهت بازگردانی مبالغ مسروقه به وی پرداخت کنند.

نمونۀ موفق این تعامل در هک شبکۀ Optimism رخ داد و هکر پس از کسب مشاوره از ویتالیک بوترین بیشتر دارایی‌ها را بازگرداند. اما بخت با توسعه‌دهندگان Harmony همراه نبود و مجرم سایبری با رد پیشنهاد پاداش عملیات پول‌شوی دارایی‌های مسروقه را آغاز نمود.

هکر پروتکل OMNI نیز با ارسال بلافاصلۀ wETHها به میکسر Tornado Cash، نیت خود را برای پول‌شویی این دارایی‌ها افشا کرد.

تعلیق پروتکل OMNI

پروتکل OMNI که هنوز در فاز آزمایشی یا بتا به سر می‌برد ازسوی توسعه‌دهندگان به حالت تعلیق درآمد تا حسابرسی‌ها و افزونه‌های امنیتی بر آن اعمال شود. توسعه‌دهندگان این پروتکل اظهار داشتند که در جریان این حمله به دارایی مشتریان کوچکترین آسیبی وارد نشده و wETHهای مسروقه متعلق به صندوق آزمایش‌ داخلی این پروتکل بوده است.

پیشنهاد مطالعه: حمله‌ وام فلش (Flash Loan Attack) چیست و چطور می‌توان از آن پیشگیری کرد؟

Source

https://coiniran.com/?p=57465
دکمه بازگشت به بالا