去中心化协议Omni Protocol 遭黑客攻击，损失1300 ETH

据 PeckShield 称，去中心化协议Omni Protocol在周日的一次闪电贷可重入攻击中损失了大约 1,300 ETH（143 万美元）。

Omni 允许用户质押他们的NFT，通常来自Bored Ape Yacht Club等流行的收藏品，以获得 ETH 等代币。

在今天的攻击中，黑客利用了 Omni 协议中的可重入漏洞。可重入性是使用Solidity编码的项目中的一个已知漏洞，它允许不良行为者强制其智能合约对不受信任的合约进行外部调用。该外部调用在原始函数之前执行，因此可用于重复重新进入协议以耗尽其流动性。

区块链安全公司BlockSec的 CEO Yajin Zhou 解释了攻击的过程，称攻击者从一个名为Doodles的集合中存放了 NFT。这些 NFT 被用作抵押品来借入wrapped ETH (WETH)。

然后，攻击者通过撤回作为抵押品存放的所有NFT，从而利用了可重入漏洞。此操作触发了恶意回调函数，使攻击者受益。这一功能允许黑客在清算贷款头寸之前使用借来的资金购买更多的NFT。

一旦头寸被清算，原始抵押品中剩余的 Doodle NFT 将返还给攻击者。贷款头寸被清算，因为在调用回调函数之前最初作为抵押品的 NFT 的价值不足以覆盖债务头寸。攻击者能够在清算发生之前强制使用借来的 WETH 购买更多的 NFT。

随后，攻击者使用初始贷款获得的 Doodles 作为抵押品借入更多 WETH。然而，Omni 并没有承认这个新的债务头寸，因此黑客可以在不偿还贷款的情况下提取 NFT。

这次攻击从协议中消耗了超过 1,300 WETH（140 万美元）。Omni 表示，此次攻击不会影响任何客户资金，只有内部测试资金受到影响，因为该平台仍处于Beta测试模式。

Omni 表示，已暂停该协议，等待全面调查。来自 Etherscan 的数据显示，黑客已经通过Tornado Cash洗钱，这是一种用于以太坊私人交易的代币混合服务。

作者：Amy Liu

了解更多资讯欢迎加入：

比推 Discord 社群 ：https://discord.com/invite/QSvv7MZ2tz

比推 TG 交流群：https://t.me/BitPushCommunity

比推 TG 订阅：https://t.me/bitpush

Twitter：https://twitter.com/BitpushNewsCN