OMNI, un protocolo NFT, perdió 1300ETH en un ataque de reentrada

TL: DR
- El protocolo NFT OMNI experimentó una brecha, y se robaron 1.300 ETH en fondos de pruebas internas.
- El atacante utilizó un ataque de reentrada, que es un método utilizado para aprovechar los defectos de los contratos inteligentes.
- El espacio NFT sigue siendo un objetivo popular para los malos actores que buscan oportunidades para comprometer los sistemas y robar dinero siempre que pueden.

Palabras clave: OMNI, NFT, Reentrada, hack, protocolo, fondo de pruebas.

El 10 de julio de 2022, el protocolo NFT OMNI experimentó una brecha, perdiendo 1.300 ETH en fondos de prueba. Según el mercado monetario de la NFT, ningún fondo de los usuarios se vio afectado. El equipo de OMNI explicó además que el Protocolo estaba todavía en fase beta mientras se había suspendido. Añadió que actualmente está investigando la causa del ataque. Sin embargo, la firma de seguridad de blockchain, PeckShield, dijo más tarde que parecía ser un ataque relacionado con la reentrada. El equipo de OMNI aún tiene que hacer una revisión completa y postmortem del ataque.

OMNI Tweet

Se han producido varios ataques en el espacio DeFi y NFT, con actores malos que han robado cientos de millones de dólares.

OMNI es un mercado monetario NFT que ofrece servicios de préstamo y empréstito. Los usuarios pueden ganar intereses prestando NFT y otros tokens ERC-20. Los activos también pueden utilizarse como garantía para los préstamos.

Se han producido varios ataques en el espacio DeFi y NFT, en los que los malos actores han robado cientos de millones de dólares.

OMNI es un mercado monetario NFT que ofrece servicios de préstamo y empréstito. Los usuarios pueden ganar intereses prestando NFT y otros tokens ERC-20. Los activos también pueden utilizarse como garantía de un préstamo.


NFT y ciberataque

---

A pesar de la ralentización de las ventas, el mercado de las NFT sigue siendo uno de los segmentos más activos de la industria de las criptomonedas. Por ello, es uno de los principales objetivos de los piratas informáticos, que buscan oportunidades para comprometer los sistemas y robar dinero siempre que sea posible.

Estos hechos se han producido en numerosas ocasiones este año. XCarnival, un fondo de préstamos de NFT, perdió alrededor de 4 millones de dólares debido a un ataque, a pesar de que el hacker recibió una recompensa de 1.500 ETH. También se lanzaron múltiples intentos de suplantación de identidad contra el club náutico Bored Ape, dirigidos a Discord y otras plataformas de medios sociales.

El incidente más notable en este ámbito fue el hackeo del puente Ronin, que provocó un robo de más de 600 millones de dólares. Los analistas creen que los hackers norcoreanos están detrás del incidente. Sin embargo, debido a la reciente caída del mercado, el valor de la criptodivisa robada por Corea del Norte ha bajado considerablemente.


¿Qué es un ataque de reentrada?

---

La reentrada es un término que se ha utilizado en informática durante muchos años para describir el proceso por el cual un proceso puede ser interrumpido en medio de la ejecución, una ocurrencia diferente de la misma función puede comenzar, y ambos procesos pueden terminar hasta el final. Todos los días utilizamos funciones reentrantes para calcular con seguridad. Un buen ejemplo es la posibilidad de iniciar un borrador de correo electrónico en un servidor, salir de él para enviar otro correo, y luego volver al borrador para terminarlo y enviarlo.

Considere un sistema bancario en línea mal diseñado para la emisión de transferencias bancarias, en el que el saldo de la cuenta sólo se comprueba durante la fase de inicialización. Un usuario puede iniciar varias transferencias sin enviar ninguna de ellas. El sistema bancario confirmará que la cuenta del usuario tiene fondos suficientes para cada transferencia. Si no se realiza ninguna verificación adicional en el momento del envío real, el usuario podría enviar potencialmente todas las transacciones y superar su saldo.


Ejemplos de algún ataque de reentrada notorio

---

Hackeo del DAO

El ejemplo más conocido de un ataque de reentrada ocurrió en 2016 cuando el DAO (organización autónoma descentralizada) de Ethereum fue hackeado por 60 millones de dólares en Ether. Para los que no estén familiarizados, la DAO de Ethereum era un proyecto diseñado para funcionar como una empresa de capital riesgo dirigida por los inversores en la que los miembros de la red podían votar sobre las iniciativas en las que invertir.

La DAO recaudó la increíble cifra de 150 millones de dólares en uno de los proyectos de crowdfunding más exitosos de la historia. Sin embargo, a los informáticos y a otros miembros de la comunidad les preocupaba que el contrato inteligente que contenía los fondos fuera vulnerable a un ataque de reentrada debido a un fallo de llamada recursiva en el código.

El hackeo del DAO se ha convertido desde entonces en un momento decisivo en la historia de la cadena de bloques, entre otras cosas porque desencadenó una bifurcación dura de Ethereum para reclamar los fondos, dando lugar al nacimiento de Ethereum Classic en el proceso. También es una verdadera experiencia de aprendizaje para la seguridad de la cadena de bloques, ya que las vulnerabilidades de reentrada son una comprobación estándar para cualquier auditoría profesional de contratos inteligentes.

Protocolo Lendf.me
Un pirata informático utilizó un ataque de reentrada el 18 de abril de 2020 para robar 25 millones de dólares del protocolo Lendf.me, un protocolo financiero basado en criptomonedas diseñado para apoyar las operaciones de préstamo en la plataforma Ethereum. El atacante se aprovechó de un fallo en la plataforma Lendf.me que permitía utilizar tokens ERC777 -un estándar de tokens de Ethereum para interacciones más complejas al comerciar con tokens- como garantía. Los desarrolladores no se dieron cuenta de que los tokens ERC777 incluyen una función de devolución de llamada que avisa a los usuarios cuando se envía o recibe dinero. Los piratas informáticos podrían explotar este estándar de tokens, que de otro modo sería seguro, con sofisticados ataques de reentrada al tener al receptor como un contrato inteligente, drenando la plataforma Lendf.me del 99,5 por ciento de sus fondos.


Posibles formas de prevenir los ataques de reentrada

---

En primer lugar, necesita que se realice una auditoría de contratos inteligentes de terceros en su proyecto. Este paso es uno de los más eficaces. Además, los desarrolladores que quieran defenderse de los ataques de reentrada deben prestar mucha atención a la estructura de su código, especialmente en torno a cualquier contrato inteligente que contenga funciones de devolución de llamada. A menudo, si una auditoría de contratos inteligentes identifica un proyecto como vulnerable a un ataque de reentrada, aconsejan reestructurar el código para actualizar los saldos antes de enviar los fondos. De lo contrario, pueden sugerirle que utilice una función diferente para la transferencia de fondos.

Los desarrolladores del espacio NFT y de la industria del blockchain tienen que mejorar su juego en términos de seguridad y no arriesgar nunca la estructura de su código, lo que puede hacer que todo un proyecto se vaya al garete. OMNI tuvo suerte esta vez. El pirata informático sólo robó fondos de pruebas internas y no activos valiosos esta vez.







Autor: Gate.io Observador: M. Olatunji
Descargo de responsabilidad:
* Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.
*Gate.io se reserva todos los derechos de este artículo. Se permitirá volver a publicar el artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.