OMNI, протокол NFT, втратив 1300 ETH під час атаки повторного входу

- У протоколі NFT OMNI стався злам, і було викрадено 1300 ETH у фондах внутрішнього тестування.

- Зловмисник використав атаку повторного входу, методом, який використовується для використання недоліків у смарт-контрактах.

- Простір NFT залишається популярною мішенню для зловмисників, які шукають можливості скомпрометувати системи та вкрасти гроші, де тільки можуть.

Ключові слова: OMNI, NFT, Reentrancy, хак, протокол, фонд тестування.

10 липня 2022 року в протоколі NFT OMNI стався злам, у результаті чого було втрачено 1300 ETH у вигляді коштів на тестування. За даними грошового ринку NFT, кошти користувачів не постраждали. Крім того, команда OMNI пояснила, що протокол все ще перебуває на стадії бета-тестування, а його роботу було призупинено. Вони додали, що наразі з'ясовується причина нападу. Однак пізніше компанія з безпеки блокчейнів PeckShield заявила, що це, схоже, була атака, пов’язана з повторним входом. Команда OMNI ще не зробила повного огляду та розслідування атаки.

Твіт OMNI

У просторі DeFi та NFT сталося кілька атак, під час яких зловмисники вкрали сотні мільйонів доларів.

OMNI — це грошовий ринок NFT, який надає послуги кредитування та запозичення. Користувачі можуть заробляти відсотки, позичаючи NFT та інші токени ERC-20. Активи також можуть бути використані як забезпечення кредитів.

У просторі DeFi та NFT сталося кілька атак, під час яких зловмисники вкрали сотні мільйонів доларів.

NFT і кібератаки

Незважаючи на уповільнення продажів, ринок NFT залишається одним із найактивніших сегментів індустрії криптовалют. Як результат, він вважається головною мішенню для хакерів, які шукають можливості скомпрометувати системи та викрасти гроші, де це можливо.

Подібні випадки цього року траплялися неодноразово. XCarnival, пул кредитування NFT, втратив близько 4 мільйонів доларів через атаку, незважаючи на те, що хакер отримав винагороду в 1500 ETH. Також було здійснено кілька спроб фішингу проти яхт-клубу Bored Ape Yacht Club, націлених на Discord та інші платформи соціальних мереж.

Найпомітнішим інцидентом у цій сфері став злом на мосту Ронін, який призвів до крадіжки на понад 600 мільйонів доларів. Аналітики вважають, що за інцидентом стоять північнокорейські хакери. Однак через останній спад ринку вартість викраденої Північною Кореєю криптовалюти значно впала.

Що таке повторна атака?

Повторне входження — це термін, який використовувався в обчислювальній техніці протягом багатьох років для опису процесу, за допомогою якого процес може бути перервано в середині виконання, може початися інше виконання тієї самої функції, і обидва процеси можуть пройти до кінця. Щодня ми використовуємо функції реентера для безпечних обчислень. Хорошим прикладом є можливість розпочати чернетку електронної пошти на сервері, вийти з нього, щоб надіслати іншу електронну пошту, а потім повернутися до чернетки, щоб закінчити та надіслати її.

Розглянемо погано розроблену систему онлайн-банкінгу для здійснення банківських переказів, у якій баланс рахунку перевіряється лише на етапі ініціалізації. Користувач може почати кілька переказів, не відправляючи жодного з них. Банківська система підтвердить, що на рахунку користувача достатньо коштів для кожного переказу. Якщо під час фактичного надсилання не було виконано додаткову перевірку, користувач міг потенційно надіслати всі транзакції та перевищити свій баланс.

Приклади деяких відомих атак повторного входу

Злом DAO

Найвідоміший приклад атаки повторного входу стався в 2016 році, коли DAO (децентралізована автономна організація) Ethereum була зламана на 60 мільйонів доларів в Ether. Для тих, хто не знайомий, DAO Ethereum був проектом, розробленим для функціонування як керована інвесторами фірма венчурного капіталу, у якій учасники мережі могли голосувати за ініціативи для інвестування.

DAO зібрала неймовірні 150 мільйонів доларів в одному з найуспішніших краудфандингових проектів в історії. Однак комп’ютерні вчені та інші члени спільноти були стурбовані тим, що смарт-контракт, що містить кошти, був вразливим до атаки повторного входу через помилку рекурсивного виклику в коді.

З тих пір злом DAO став переломним моментом в історії блокчейну, не в останню чергу тому, що він ініціював хардфорк Ethereum, щоб повернути кошти, породивши в процесі Ethereum Classic. Це також справжній досвід вивчення безпеки блокчейну, оскільки вразливості повторного входу є стандартною реєстрацією для будь-якого професійного аудиту розумних контрактів.

Протокол Lendf.me

18 квітня 2020 року хакер використав атаку повторного входу, щоб вкрасти 25 мільйонів доларів із протоколу Lendf.me, крипто-фінансового протоколу, призначеного для підтримки кредитних операцій на платформі Ethereum. Зловмисник скористався недоліком платформи Lendf.me, який дозволив використовувати токени ERC777 як заставу, стандарт токенів Ethereum для більш складної взаємодії під час торгівлі токенами . Розробники не помітили, що токени ERC777 містять функцію зворотного виклику, яка сповіщає користувачів про надсилання або отримання грошей. Хакери можуть використовувати цей безпечний стандарт токенів за допомогою складних атак повторного входу, використовуючи одержувача як смарт-контракт, виснажуючи платформу Lendf.me 99,5% її коштів.

Можливі способи запобігання атакам повторного входу

По-перше, вам потрібен сторонній аудит смарт-контракту для вашого проекту. Цей крок є одним з найефективніших. Крім того, розробники, які хочуть захиститися від атак повторного входу, повинні звернути пильну увагу на структуру свого коду, особливо навколо будь-якого смарт-контракту, який містить функції зворотного виклику. Часто, якщо аудит смарт-контракту визначає проект як вразливий до атаки повторного входу, вони рекомендують змінити структуру коду, щоб оновити баланси до надсилання коштів. В іншому випадку вони можуть запропонувати використовувати іншу функцію для переказу коштів.

Розробники у сфері NFT та індустрії блокчейнів повинні покращувати свою гру з точки зору безпеки та ніколи не ризикувати структурою свого коду, яка може пустити весь проект на вітер. Цього разу OMNI пощастило. Цього разу хакер вкрав лише кошти внутрішнього тестування, а не цінні активи.

Автор: Gate.io Спостерігач: М. Олатунджі

Відмова від відповідальності:

* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.

*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде подано судовий позов.