NFT kredi platformu Omni siber saldırıya uğradı. Saldırganın giriş güvenlik açığından yararlanarak platformdan yaklaşık olarak 1,4 milyon dolar değerinde ETH çaldığı kaydedildi.
PeckShield verilerine göre, NFT platformu olan Omni, dün siber saldırıya maruz kaldı. Açıklanan verilerde, saldırganın 1.43 milyon dolar değerinde 1.300 ETH çaldığı belirtildi. Bilindiği üzere Omni, kullanıcıların genellikle Bored Ape Yatch Club (BAYC) gibi popüler koleksiyonlardan NFT’lerini ETH gibi token’lar satın almak için stake etmelerine olanak tanıyor.
Dün yaşandığı belirtilen saldırıda, hacker’ların Omni protokolündeki bir giriş güvenlik açığından yararlandığı açıklandı. Reentrancy ve Solidity ile kodlanmış projelerde, kötü aktörün akıllı sözleşmelerini güvenilmeyen bir sözleşmeye harici bir çağrı yapmaya zorlamasını sağlayan güvenlik açığı. Orijinal işlevden önce yürütülen bu açık, likidite boşaltmak için protokole tekrar tekrar girmek için kullanıldı.
Hacker güvenlik açığından yararlandı
Blockchain güvenlik şirketi BlockSec CEO’su Yajin Zhou, siber saldırının sürecini açıkladı. Saldırının Doodles adlı bir koleksiyondan NFT’lerin yatırıldığını söyledi. Bu NFT’ler wrapped ETH (WETH) ödünç almak için teminat olarak kullanıldı. Hacker, daha sonra teminat olarak yatırılan NFT’lerden biri hariç hepsini çekerek güvenlik açığından yararlandı.
Bu saldırı ile hacker, kredi fonlarını daha fazla Doodle almak için kullandı. Pozisyon tasfiye edildiğinde, orijinal teminattan kalan Doodle NFT, saldırgana iade edilerek kredi pozisyonu tasfiye edildi. Hacker, ilk krediyi kullanarak edindiği Doodle’ları daha fazla WETH ödünç almak için teminat olarak kullandı. Omni, bu yeni kredi pozisyonunu tanımadı bu nedenle bilgisayar korsanı krediyi geri ödemeden NFT’leri geri çekebildi.
Saldırıdan müşteri fonları etkilenmedi
Yaşanan saldırı ile 1.300’den fazla WETH kaybedildi. Omni, platformun hala beta test modunda olduğu için yalnızca dahili test fonlarının etkilendiği kaydedildi. İstismarın herhangi bir müşteri fonunu etkilemediği kaydedildi.
Omni, soruşturulmaya devam edilen protokolü duraklattığını söyledi. Etherscan’dan gelen veriler, istismarcının, Tornado Cash aracılığıyla fonları zaten akladığını gösteriyor.
