Неизвестный украл активы на более чем 1300 ETH (~$1,48 млн) у протокола кредитования Omni с помощью атаки повторного входа.
Платформа предоставляет возможность заимствовать средства под залог NFT. Хакер использовал для атаки токены из коллекции Doodles.
Полученный под залог кредит в криптовалюте злоумышленник использовал для покупки большего количества NFT. Последние он вывел, не возвращая заемные средства, благодаря уязвимости.
Украденные активы хакер отправил в сервис микширования Tornado Cash.
It seems a reentrancy-related hack. @ParallelFi @OMNI_xyz The stolen funds were just mixed via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) July 10, 2022
Команда Omni сообщила, что протокол находится на стадии бета-тестирования, поэтому средства пользователей инцидент не затронул.
«Мы приостановили действие протокола OMNI, пока не завершим расследование и не проверим все снова с помощью внешних фирм по безопасности и аудиту», — заявили разработчики.