O protocolo OMNI perdeu 1300 ETH em um ataque de reentrada!

- O protocolo NFT OMNI sofreu uma violação, e 1.300 ETH em fundos de testes internos foram roubados.

- O invasor usou um ataque de reentrada que é um método usado para tirar proveito de falhas em contratos inteligentes.

- O espaço NFT continua sendo um alvo popular para maus atores que buscam oportunidades para comprometer sistemas e roubar dinheiro onde puderem.

Palavras-chave: OMNI, NFT, Reentrancy, hack, protocol, fundo de teste.

Em 10 de julho de 2022, o protocolo NFT OMNI sofreu uma violação, perdendo 1.300 ETH em fundos de teste. De acordo com o mercado monetário da NFT, nenhum fundo de usuários foi afetado. A equipe da OMNI explicou ainda que o Protocolo ainda estava em fase beta enquanto havia sido suspenso. Acrescentou que está investigando a causa do ataque. No entanto, a empresa de segurança blockchain, PeckShield, disse mais tarde que parecia ser um ataque relacionado à reentrada. A equipe omni ainda está para fazer uma revisão completa e pós-morte do ataque.

OMNI Tweet

Vários ataques ocorreram no espaço DeFi e NFT, com maus atores roubando centenas de milhões de dólares.

Omni é um mercado monetário da NFT que fornece serviços de empréstimos. Os usuários podem ganhar juros emprestando NFTs e outros tokens ERC-20. Os ativos também podem ser usados como garantia para empréstimos.

Vários ataques ocorreram no espaço DeFi e NFT, com maus atores roubando centenas de milhões de dólares.

Omni é um mercado monetário da NFT que fornece serviços de empréstimos. Os usuários podem ganhar juros emprestando NFTs e outros tokens ERC-20. Os ativos também podem ser usados como garantia de empréstimo.

NFT e ataque cibernético

Apesar da desaceleração das vendas, o mercado de NFT continua sendo um dos segmentos mais ativos do setor de criptomoedas. Como resultado, ele se classifica como um dos principais alvos para hackers, que buscam oportunidades para comprometer sistemas e roubar dinheiro sempre que possível.

Tais ocorrências ocorreram inúmeras vezes este ano. XCarnival, um pool de empréstimos NFT, perdeu cerca de US $4 milhões devido a um ataque, apesar do hacker receber uma recompensa de 1.500 ETH. Várias tentativas de phishing também foram lançadas contra o Bored Ape Yacht Club, tendo como alvo o Discord e outras plataformas de mídia social.

O incidente mais notável nesta área foi o hack da Ponte Ronin, que resultou em mais de US $600 milhões em roubo. Analistas acreditam que hackers norte-coreanos estavam por trás do incidente. No entanto, devido ao recente declínio do mercado, o valor da criptomoeda roubada da Coreia do Norte caiu significativamente.

O que é um ataque de reentrada?

Reentrancy é um termo que tem sido usado na computação por muitos anos para descrever o processo pelo qual um processo pode ser interrompido no meio da execução, uma ocorrência diferente da mesma função pode começar, e ambos os processos podem terminar até a conclusão. Todos os dias, usamos funções de reentrada para calcular com segurança. Um bom exemplo é a capacidade de iniciar um rascunho de e-mail em um servidor, sair dele para enviar outro e-mail e, em seguida, retornar ao rascunho para terminar e enviá-lo.

Considere um sistema bancário on-line mal projetado para a emissão de transferências bancárias, no qual o saldo da conta só é verificado durante a fase de inicialização. Um usuário pode iniciar várias transferências sem enviar nenhuma delas. O sistema bancário confirmará que a conta do usuário tem fundos suficientes para cada transferência. Se nenhuma verificação adicional foi realizada no momento do envio real, o usuário poderia potencialmente enviar todas as transações e exceder seu saldo.

Exemplos de ataques de reentrada notórios

DAO Hack

O exemplo mais conhecido de um ataque de reentrada ocorreu em 2016, quando o DAO (organização autônoma descentralizada) da Ethereum foi hackeado por US $60 milhões no Ether. Para aqueles que não estão familiarizados, o DAO da Ethereum foi um projeto para funcionar como uma empresa de capital de risco dirigida a investidores na qual os membros da rede poderiam votar em iniciativas para investir.

O DAO arrecadou incríveis US $150 milhões em um dos projetos de crowdfunding mais bem sucedidos da história. No entanto, cientistas da computação e outros da comunidade estavam preocupados que o contrato inteligente que detém os fundos era vulnerável a um ataque de reentrada devido a um bug de chamada recursiva no código.

Desde então, o hack da DAO tornou-se um momento divisor de águas na história da blockchain, até porque desencadeou um hard fork do Ethereum para recuperar os fundos, dando origem ao Ethereum Classic no processo. É também uma experiência de aprendizado real para a segurança do blockchain, com as vulnerabilidades de reentrada sendo um check-in padrão para qualquer auditoria de contrato profissional e inteligente.

Protocolo Lendf.me

Um hacker usou um ataque de reentrada em 18 de abril de 2020, para roubar US $25 milhões do Protocolo Lendf.me, um protocolo financeiro baseado em criptomoedas projetado para suportar operações de empréstimos na plataforma Ethereum. O invasor explorou uma falha na plataforma Lendf.me que permitiu que os tokens ERC777 — um padrão de token Ethereum para interações mais complexas ao negociar tokens — fossem usados como garantia. Os desenvolvedores não perceberam que os tokens ERC777 incluem uma função de retorno de chamada que alerta os usuários quando o dinheiro é enviado ou recebido. Os hackers poderiam explorar esse padrão de token seguro de outra forma com ataques sofisticados de reentrada, tendo o destinatário como um contrato inteligente, drenando a plataforma Lendf.me de 99,5% de seus fundos.

Possíveis formas de prevenir ataques de reentrada

Primeiro, você precisa de uma auditoria de contrato inteligente de terceiros realizada em seu projeto. Este passo é um dos mais eficazes. Além disso, os desenvolvedores que procuram se defender contra ataques de reentrada devem prestar muita atenção à estrutura de seu código, especialmente em torno de qualquer contrato inteligente que contenha funções de callback. Muitas vezes, se uma auditoria de contrato inteligente identificar um projeto como vulnerável a um ataque de reentrada, eles aconselham o código a ser reestruturado para atualizar os saldos antes que os fundos sejam enviados. Caso contrário, eles podem sugerir o uso de uma função diferente para transferência de fundos.

Os desenvolvedores do espaço NFT e da indústria blockchain têm que aumentar seu jogo em termos de segurança e nunca se arriscar na estrutura de seu código, o que pode empurrar um projeto inteiro pelo ralo. OMNI teve sorte desta vez. O hacker só roubou fundos de teste internos e não ativos valiosos desta vez.

Autor: Gate.io. Observador: M. Olatunji.

Tradução em PT-BR por João Gab. Este artigo constitui apenas a opinião dos autores, pesquisadores e observadores. Ele não é uma sugestão de investimento. Republicar o artigo será permitido, mas a Gate.io deverá ser citada. Nos outros casos, tomaremos as medidas por violação de direito autoral.