Omni, una plataforma de tokens no fungibles (NFT) fue hackeada por 1.300 ether (ETH) (1,43 millones de dólares), ya que el hacker explotó una vulnerabilidad en el protocolo de reentrada de la firma, según una publicación en Twitter de PeckShield.
It seems a reentrancy-related hack. @ParallelFi @OMNI_xyz The stolen funds were just mixed via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) July 10, 2022
La plataforma de mercado de dinero NFT permite a los usuarios stakear sus NFT en el sitio a cambio de tokens como ETH, que suele ser una apuesta abierta para colecciones conocidas como Bored Ape Yacht Club.
Los hackers pidieron prestados wETH utilizando NFT de la famosa colección Doodles como garantía, y luego retiraron todos los NFT menos uno para llevar a cabo el ataque de reentrada. A continuación, el atacante utilizó el mezclador de criptomonedas Tornado Cash para blanquear el dinero.
Esto hizo que se activara una función de devolución de llamada maliciosa en beneficio del atacante. Este sistema permitió al hacker utilizar el dinero prestado para comprar más Doodles antes de pagar el préstamo.
Dado que el valor del NFT utilizado como garantía antes de activar la función de devolución de llamada era insuficiente para respaldar la posición de deuda, la posición de préstamo se liquida. Como el atacante puede utilizar el WETH prestado para comprar más NFT antes de la liquidación, es aquí donde entra en juego la reentrada.
¿Qué es la reentrada?
Se sabe que los proyectos escritos en Solidity son vulnerables a la reentrada. Permite a los actores maliciosos forzar un contrato inteligente para hacer una llamada de contrato no fiable desde fuera del contrato inteligente. Antes de la función inicial, esta llamada externa se ejecuta. Como resultado, podría utilizarse para reentrar repetidamente en el protocolo para drenar su liquidez.
Los fondos de los clientes no se ven afectados
Más de 1.300 WETH (1,4 millones de dólares) del protocolo se perdieron en el ataque, pero Omni insistió en que los fondos de los clientes no se vieron afectados. La plataforma está todavía en fase de pruebas beta, según la empresa, por lo que sólo se vio afectado el dinero de las pruebas internas.
Statement:
1/ OMNI is still in a testing (beta). No customer funds were lost, only internal testing funds were affected!
We have suspended the OMNI protocol until we completed the investigation and have everything reviewed again by external security and auditing firms.
— OMNI (@OMNI_xyz) July 10, 2022
Al parecer, el procedimiento ha quedado en suspenso hasta que se lleve a cabo una revisión en profundidad, según la red de mercado monetario NFT. Los datos de Etherscan, sin embargo, indican que el explotador ya ha utilizado Tornado Cash, un servicio de mezcla de monedas de Ethereum para transacciones privadas, para blanquear los fondos.
