اخبار العملات الرقمية

منصة Omni لرموز الـ NFTs تتعرض للاختراق واستنزف منها ما قيمته 1.4 مليون دولار من ETH

تم استنزاف Omni ، منصة سوق المال غير القابلة للاستبدال (NFT) ; من حوالي 1300 ETH (1.43 مليون دولار) في هجوم يوم الأحد ، وفقًا لـ PeckShield.

يسمح Omni للمستخدمين بالمشاركة في NFTs الخاصة بهم ; عادةً من المجموعات الشهيرة مثل Bored Ape Yacht Club ، لتلقي العملات المشفرة مثل ether (ETH).

شهد هجوم اليوم قيام المخترق باستغلال ثغرة أمنية في إعادة الدخول في بروتوكول Omni. Reentrancy هي نقطة ضعف معروفة في المشاريع المشفرة باستخدام Solidity والتي تسمح للممثل بفرض عقده الذكي لإجراء مكالمة خارجية لعقد غير موثوق به. يتم تنفيذ هذا الاستدعاء الخارجي قبل الوظيفة الأصلية ; وبالتالي يمكن استخدامه لإعادة إدخال البروتوكول بشكل متكرر لاستنزاف السيولة.

أوضح Yajin Zhou ، الرئيس التنفيذي لشركة BlockSec لأمن blockchain ; عملية الاستغلال ، قائلاً إن المهاجم أودع NFTs من مجموعة تسمى Doodles. تم استخدام NFTs كضمان لاقتراض ETH المغلف (WETH).

ثم استغل المهاجم ثغرة إعادة الدخول من خلال سحب جميع NFTs المودعة كضمان ، باستثناء واحدة. أدى هذا الإجراء إلى تشغيل وظيفة رد اتصال ضارة لصالح المهاجم. سمحت هذه الوظيفة للمتسلل باستخدام الأموال المقترضة لشراء المزيد من رسومات الشعار المبتكرة قبل تصفية مركز القرض.

بمجرد تصفية المركز ، يتم إرجاع Doodle NFT المتبقية من الضمان الأصلي إلى المهاجم. تمت تصفية مركز القرض لأن قيمة NFT التي تم تركها في البداية كضمان قبل استدعاء وظيفة رد الاتصال لم تكن كافية لتغطية مركز الدين. هذا هو المكان الذي تأتي فيه العودة ، حيث يكون المهاجم قادرًا على استخدام WETH المقترض لشراء المزيد من NFTs قبل حدوث التصفية.

ثم استخدم المهاجم رسومات الشعار المبتكرة التي حصل عليها مع القرض الأولي كضمان لاقتراض المزيد من WETH. ومع ذلك ، لم يعترف أومني بموقف الدين الجديد هذا ; لذلك يمكن للمخترق سحب NFTs دون سداد القرض.

استنفد الهجوم أكثر من 1300 WETH (1.4 مليون دولار) من البروتوكول. قال أومني إن الاستغلال لم يؤثر على أموال العملاء حيث تأثرت أموال الاختبار الداخلية فقط ; لأن النظام الأساسي لا يزال في وضع الاختبار التجريبي.

قالت منصة سوق المال NFT إنها أوقفت البروتوكول مؤقتًا في انتظار إجراء تحقيق كامل. تُظهر البيانات من Etherscan أن المستغل قد قام بالفعل بغسل الأموال عبر Tornado Cash ; وهي خدمة خلط عملات للمعاملات الخاصة على Ethereum.

المصدر من هنا

تابعنا على قناة التيلغرام “أخبار العملات المشفرة | أفق الكريبتو” بالنقر على الرابط

لقراءة المزيد من أخبار العملات المشفرة انقر على الرابط

------------------------------------------------------------------------------

 منصة CoinEx أفضل منصة تداول في الشرق الأوسط

شرح منصة CoinEx بشكل كامل من هنا

سجل الان في المنصة وابدأ التداول الان  من هنا

شرح توثيق منصة CoinEx من هنا

مقالات ذات صلة

زر الذهاب إلى الأعلى

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock