es.bitcoinethereumnews.com
La plataforma de tokens no fungibles (NFT), Omni fue pirateada por 1,300 ether (ETH) ($ 1.43 millones) ya que el pirata informático explotó el protocolo de vulnerabilidad de reingreso de la empresa, según PeckShield.
La plataforma de mercado monetario NFT permite a los usuarios apostar sus NFT en la plataforma, normalmente apuestas abiertas para colecciones populares como Bored Ape Yacht Club, para recibir tokens como ETH.
Aunque el pirata informático pudo drenar más de 1,300 wETH (USD 1.4 millones), la versión negociable ERC20 de ETH, Omni afirmó que el robo no afectó los fondos de los clientes. La compañía agregó que solo los fondos de prueba internos se vieron afectados ya que la plataforma aún está en modo de prueba beta.
El protocolo ha sido suspendido para una investigación completa, según la empresa NFT.
Según The Block, los proyectos codificados con Solidez son vulnerables a la reentrada. Permite a los piratas informáticos obligar a su contrato inteligente a realizar una llamada externa a un contrato que no es de confianza.
Por esta naturaleza del hackeo, Yajin Zhou, director ejecutivo de la compañía de seguridad blockchain BlockSec, le dijo a The Block que el pirata informático depositó NFT de una colección llamada Doodles, que se usaron para tomar prestadas ETH envueltas (WETH), versiones tokenizadas de criptomonedas que están vinculadas a el valor de la moneda original.
Tras el depósito y la liquidación de la posición, el Doodle NFT restante de la garantía original se devuelve al atacante.
Zhou agregó que los piratas informáticos a menudo liquidan la posición del préstamo ya que el valor del NFT que queda como garantía antes de que se invoque la función de devolución de llamada no es suficiente para cubrir la posición de la deuda. Para abordar esto, los piratas informáticos generalmente confían en el reingreso, ya que pueden forzar el uso de WETH prestado para comprar más NFT antes de que ocurra la liquidación.
Además, Zhou agregó que el hacker luego usó los Doodles NFT adquiridos con el préstamo inicial como garantía para pedir prestado más WETH. Sin embargo, como Omni no reconoció esta nueva posición, el pirata informático podría retirar los NFT sin pagar el préstamo.
Según The Block, los datos de Etherscan muestran que el atacante ya ha lavado los fondos a través de un servicio de mezcla de monedas para transacciones privadas en Ethereum llamado Tornado Cash.