ओमनी, एक अपूरणीय टोकन (एनएफटी) मुद्रा बाजार मंच, रविवार को एक फ्लैश ऋण पुनर्वित्त हमले में लगभग 1,300 ईटीएच ($ 1.43 मिलियन) से निकल गया था, अनुसार पेकशील्ड को।
ओमनी उपयोगकर्ताओं को अपने एनएफटी को दांव पर लगाने की अनुमति देता है, आमतौर पर बोरेड एप यॉट क्लब जैसे लोकप्रिय संग्रह से, ईथर (ईटीएच) जैसे टोकन प्राप्त करने के लिए।
आज के हमले में हैकर ने ओमनी प्रोटोकॉल में पुनर्प्रवेश भेद्यता का फायदा उठाया। रीएंट्रेंसी सॉलिडिटी के साथ कोडित परियोजनाओं में एक ज्ञात भेद्यता है जो एक दुष्ट अभिनेता को अपने स्मार्ट अनुबंध को एक अविश्वसनीय अनुबंध पर बाहरी कॉल करने के लिए मजबूर करने की अनुमति देती है। यह बाहरी कॉल मूल फ़ंक्शन से पहले निष्पादित की जाती है और इस प्रकार इसकी तरलता को ख़त्म करने के लिए प्रोटोकॉल को बार-बार पुनः दर्ज करने के लिए उपयोग किया जा सकता है।
ब्लॉकचेन सुरक्षा कंपनी ब्लॉकसेक के सीईओ याजिन झोउ ने द ब्लॉक को शोषण की प्रक्रिया के बारे में बताते हुए कहा कि हमलावर ने डूडल नामक संग्रह से एनएफटी जमा किया। इन एनएफटी को लिपटे हुए ईटीएच (डब्ल्यूईटीएच) उधार लेने के लिए संपार्श्विक के रूप में इस्तेमाल किया गया था।
फिर हमलावर ने संपार्श्विक के रूप में जमा किए गए एनएफटी में से एक को छोड़कर सभी को वापस ले कर पुनर्प्रवेश भेद्यता का फायदा उठाया। यह क्रिया शुरू हो रहा हमलावर के लाभ के लिए एक दुर्भावनापूर्ण कॉलबैक फ़ंक्शन। इस फ़ंक्शन ने हैकर को ऋण की स्थिति को समाप्त करने से पहले और भी अधिक डूडल खरीदने के लिए उधार ली गई धनराशि का उपयोग करने की अनुमति दी।
एक बार स्थिति समाप्त हो जाने के बाद, मूल संपार्श्विक से शेष डूडल एनएफटी वापस हमलावर को वापस कर दिया जाता है। ऋण की स्थिति का परिसमापन किया जाता है क्योंकि एनएफटी का मूल्य जिसे शुरू में कॉलबैक फ़ंक्शन के लागू होने से पहले संपार्श्विक के रूप में छोड़ दिया गया था, ऋण की स्थिति को कवर करने के लिए पर्याप्त नहीं था। यह वह जगह है जहां पुनर्विक्रय आता है, क्योंकि परिसमापन होने से पहले हमलावर अधिक एनएफटी खरीदने के लिए उधार ली गई WETH का उपयोग करने के लिए मजबूर करने में सक्षम है।
इसके बाद हमलावर ने अधिक WETH उधार लेने के लिए प्रारंभिक ऋण के साथ प्राप्त किए गए डूडल को संपार्श्विक के रूप में उपयोग किया। हालांकि, ओमनी ने इस नई ऋण स्थिति को नहीं पहचाना, इसलिए हैकर ऋण वापस किए बिना एनएफटी वापस ले सकता है।
हमले ने प्रोटोकॉल से 1,300 WETH ($1.4 मिलियन) से अधिक की निकासी की। ओमनी ने कहा कि शोषण ने किसी भी ग्राहक फंड को प्रभावित नहीं किया क्योंकि केवल आंतरिक परीक्षण फंड प्रभावित हुए थे, क्योंकि प्लेटफॉर्म अभी भी बीटा परीक्षण मोड में है।
एनएफटी मनी मार्केट प्लेटफॉर्म ने कहा कि उसने पूरी जांच होने तक प्रोटोकॉल को रोक दिया है। इथरस्कैन के डेटा से पता चलता है कि शोषक ने एथेरियम पर निजी लेनदेन के लिए सिक्का मिश्रण सेवा टॉरनेडो कैश के माध्यम से पहले ही धन की हेराफेरी कर ली है।
© 2022 ब्लॉक क्रिप्टो, इंक। सभी अधिकार सुरक्षित। यह आलेख केवल सूचना प्रयोजन के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।
स्रोत: https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss