NFT протокол OMNI потерял 1300 ETH в ходе атаки повторного входа

- Протокол NFT OMNI был взломан, и 1300 ETH были украдены из средств внутреннего тестирования.

- Злоумышленник использовал атаку повторного входа, которая представляет собой метод, используемый для использования недостатков в смарт-контрактах.

- Пространство NFT остается популярной мишенью для злоумышленников, которые ищут возможности для взлома систем и кражи денег везде, где только могут.

Ключевые слова: OMNI, NFT, повторный вход, взлом, протокол, фонд тестирования.

10 июля 2022 года NFT протокол OMNI столкнулся с атакой, потеряв 1300 ETH при тестировании средств. По данным площадки, средства пользователей не пострадали. Команда OMNI далее объяснила, что протокол все еще находится в стадии бета-тестирования, хотя он был приостановлен. Она добавила, что в настоящее время расследует причину нападения. Однако фирма по безопасности блокчейна PeckShield позже заявила, что, по-видимому, это была атака, связанная с повторным входом. Команде OMNI еще предстоит провести полный анализ и вскрытие нападения.

Твит OMNI

В пространстве DeFi и NFT произошло несколько атак, в ходе которых злоумышленники похитили сотни миллионов долларов.

OMNI — это рынок NFT, который предоставляет услуги кредитования и заимствования. Пользователи могут получать проценты, предоставляя NFT и другие токены ERC-20. Активы также могут быть использованы в качестве обеспечения по кредитам.

В пространстве DeFi и NFT произошло несколько атак, в ходе которых злоумышленники похитили сотни миллионов долларов.

NFT и кибератака

Несмотря на замедление продаж, рынок NFT остается одним из самых активных сегментов в индустрии криптовалют. В результате он становится главной мишенью для хакеров, которые ищут возможности для взлома систем и кражи денег везде, где это возможно.

Такие случаи происходили много раз в этом году. XCarnival, кредитный пул NFT, потерял около 4 миллионов долларов из-за атаки, несмотря на то, что хакер получил вознаграждение в размере 1500 ETH. Также были предприняты многочисленные попытки фишинга против BAYC, нацеленные на Discord и другие платформы социальных сетей.

Самым заметным инцидентом в этой области стал взлом Ronin Bridge, в результате которого было похищено более 600 миллионов долларов. Аналитики полагают, что за этим инцидентом стояли северокорейские хакеры. Однако из-за недавнего падения рынка стоимость украденной северокорейской криптовалюты значительно упала.

Что такое атака повторого входа?

Повторный вход — это термин, который используется в вычислительной технике в течение многих лет для описания процесса, с помощью которого процесс может быть прерван в середине исполнения, может начаться другое выполнение одной и той же функции, и оба процесса могут завершиться до завершения. Каждый день мы используем данные функции для безопасных вычислений. Одним из хороших примеров является возможность запустить черновик электронной почты на сервере, выйти из него, чтобы отправить другое электронное письмо, а затем вернуться к черновику, чтобы завершить и отправить его.

Рассмотрим плохо разработанную систему онлайн-банкинга для выдачи банковских переводов, в которой баланс счета проверяется только на этапе инициализации. Пользователь может начать несколько переводов, не отправляя ни одного из них. Банковская система подтвердит, что на счете пользователя достаточно средств для каждого перевода. Если во время фактической отправки не было выполнено никакой дополнительной проверки, пользователь потенциально может отправить все транзакции и превысить свой баланс.

Примеры известных атак повторного входа

Взлом DAO

Самый известный пример повторной атаки произошел в 2016 году, когда DAO Ethereum (децентрализованная автономная организация) была взломана на 60 миллионов долларов в ETH. Для тех, кто не знаком, DAO Ethereum был проектом, разработанным для функционирования в качестве венчурной фирмы, ориентированной на инвесторов, в которой члены сети могли голосовать за инициативы для инвестирования.

DAO собрала невероятные 150 миллионов долларов в рамках одного из самых успешных краудфандинговых проектов в истории. Однако ученые-компьютерщики и другие члены сообщества были обеспокоены тем, что смарт-контракт, в котором хранятся средства, уязвим для повторной атаки из-за ошибки рекурсивного вызова в коде.

С тех пор взлом DAO стал переломным моментом в истории блокчейна, не в последнюю очередь потому, что он вызвал хардфорк Ethereum для возврата средств, породив в процессе Ethereum Classic. Это также реальный опыт обучения безопасности блокчейна, поскольку уязвимости повторного входа являются стандартной проверкой для любого профессионального аудита смарт-контрактов.

Протокол Lendf.me

Хакер использовал атаку повторого входа 18 апреля 2020 года, чтобы украсть 25 миллионов долларов из протокола Lendf.me, основанного на криптовалютах финансового протокола, предназначенного для поддержки кредитных операций на платформе Ethereum. Злоумышленник воспользовался недостатком в платформе Lendf.me, которая позволяла использовать токены ERC777 — стандарт токенов Ethereum для более сложных взаимодействий при торговле токенами — в качестве обеспечения. Разработчики не заметили, что токены ERC777 включают функцию обратного вызова, которая предупреждает пользователей об отправке или получении денег. Хакеры использовали этот в остальном безопасный стандарт токенов с помощью сложных атак повторного входа, используя получателя в качестве смарт-контракта, таким образом Lendf.me потеряла 99,5% своих средств.

Возможные пути предовтращения атак повторного входа

Во-первых, вам нужен сторонний аудит смарт-контрактов, выполненный для вашего проекта. Этот шаг является одним из самых эффективных. Кроме того, разработчики, стремящиеся защититься от атак повторного входа, должны уделять пристальное внимание структуре своего кода, особенно в отношении любого смарт-контракта, содержащего функции обратного вызова. Часто, если аудит смарт-контрактов выявляет проект как уязвимый для повторной атаки, они рекомендуют реструктурировать код, чтобы обновить балансы перед отправкой средств. В противном случае они могут предложить использовать другую функцию для перевода средств.

Разработчики в сфере NFT и блокчейн-индустрии должны играть в свою игру с точки зрения безопасности и никогда не рисковать структурой своего кода, что может пустить весь проект коту под хвост. На этот раз OMNI повезло. На этот раз хакер украл только внутренние тестовые средства, а не ценные активы.

Автор: Gate.io, Аналитик: M. Olatunji Переводчик: Николай Д.

Эта статья представляет собой только мнение аналитика и не представляет собой каких-либо инвестиционных советов.

Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех других случаях в связи с нарушением авторских прав будет возбужден судебный иск.