OMNI, una plataforma financiera de NFT que presta criptomonedas a cambio de NFT apostados, fue víctima de un exploit de reingreso que provocó la pérdida de casi 1,300 ETH, con un valor de $1.4 millones en ese momento.
Parece un truco relacionado con la reentrada. @paralelofi @OMNI_xyz Los fondos robados simplemente se mezclaron a través de @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
- PeckShield Inc. (@peckshield) 10 de Julio de 2022
Deudas incobrables debido a un código incorrecto
El proyecto en cuestión perdió los fondos luego de una participación de mala fe de NFT de la colección Doodle. Para llevar a cabo el ataque, el perpetrador primero depositó Doodles como garantía para un préstamo de ETH envuelto (wETH). Una vez que se aseguró el préstamo, el explotador pudo retirar todos los Doodles excepto uno, lo que provocó una función de devolución de llamada que anuló la deuda adquirida por adquisitivo WETH.
Una vez completados estos dos pasos, el Doodle que quedaba en la plataforma ya no era suficiente para cubrir la deuda contraída. Luego, el sistema liquidó la posición y también devolvió el último de los Doodles al atacante.
No hay oportunidad para una apelación de sombrero blanco
A raíz de los recientes ataques a DeFi, los desarrolladores recientemente explotados a menudo han hecho llamamientos abiertos a los que están detrás del hackeo, ofreciendo considerarlos como un evento de sombrero blanco a cambio de la mayoría o la totalidad de los fondos robados.
En algunos casos, esto ha funcionado bien: el explotador de Optimism, por ejemplo, devolvió la mayor parte de los fondos después de pedir el consejo de Vitalik Buterin. Los desarrolladores de Harmony probaron recientemente el mismo enfoque, pero sumariamente ignorado cuando comenzó el lavado de los tokens robados.
En este caso, la apelación nunca tuvo la oportunidad de realizarse, ya que el atacante inmediatamente expedido su wETH recientemente asignado a Tornado, un servicio de mezcla que ofusca el origen de los fondos. Debido a esta capacidad, los ciberdelincuentes suelen utilizarla para intentar blanquear ganancias ilícitas.
Protocolo OMNI suspendido
El protocolo OMNI, aún en versión beta, ha sido cerrado por los desarrolladores a cargo, pendientes de auditorías y parches de seguridad. Además, los desarrolladores de OMNI confirmaron que los fondos de los clientes no se vieron afectados por el exploit. indicando que los wETH malversados eran "fondos de pruebas internas".
“OMNI todavía está en pruebas (beta). ¡No se perdieron fondos de clientes, solo se vieron afectados los fondos de pruebas internas! Hemos suspendido el protocolo OMNI hasta que completemos la investigación y tengamos todo revisado nuevamente por firmas externas de seguridad y auditoría”.
Desafortunadamente para los desarrolladores y fanáticos del proyecto, parece que OMNI tendrá que permanecer en beta por un tiempo más de lo planeado previamente.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/nft-platform-omni-hit-by-re-entrancy-exploit-lost-1-4m-in-eth/