Более 1300 ETH (~$1,48 млн) біло украдено у протокола кредитования Omni благодаря атаке повторного входа.
It seems a reentrancy-related hack. @ParallelFi @OMNI_xyz The stolen funds were just mixed via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) July 10, 2022
На платформе есть функция заимствования средств под залог NFT. Для этого хакер использовал токены из коллекции Doodles.
Найдя уязвимость, хакер использовал заимствованные деньги для покупки большего количества NFT. Последние он вывел, не возвращая заемные средства.
Вскоре активы были отправлены в сервис микширования Tornado Cash.
По словам команды Omni, протокол на стадии бета-тестирования, из-за чего средства пользователей инцидент не затронул.
Statement:
1/ OMNI is still in a testing (beta). No customer funds were lost, only internal testing funds were affected!
We have suspended the OMNI protocol until we completed the investigation and have everything reviewed again by external security and auditing firms.
— OMNI (@OMNI_xyz) July 10, 2022
«Мы приостановили действие протокола OMNI, пока не завершим расследование и не проверим все снова с помощью внешних фирм по безопасности и аудиту», — сообщили разработчики.
