OMNI – eine NFT-Finanzplattform, die Kryptowährung im Austausch für gestakte NFTs ausleiht – wurde Opfer eines Wiedereintritts-Exploits, der zum Verlust von fast 1.300 ETH im damaligen Wert von 1,4 Millionen US-Dollar führte.
Es scheint ein Reentrancy-bezogener Hack zu sein. @ParallelFi @OMNI_xyz Die gestohlenen Gelder wurden einfach über @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq gemischt
– PeckShield Inc. (@peckshield) 10. Juli 2022
Forderungsausfälle aufgrund von schlechtem Code
Das fragliche Projekt verlor die Mittel nach einem böswilligen Staking von NFTs aus der Doodle-Sammlung. Um den Angriff durchzuführen, hinterlegte der Täter zunächst Doodles als Sicherheit für ein Darlehen von Wrapped ETH (wETH). Sobald der Kredit gesichert war, konnte der Ausbeuter alle Doodles bis auf eines zurückziehen, was eine Callback-Funktion auslöste, die die durch den Kauf von wETH erworbene Schuld ungültig machte.
Nachdem diese beiden Schritte abgeschlossen waren, reichte das auf der Plattform verbleibende Doodle nicht mehr aus, um die entstandenen Schulden zu decken. Die Position wurde dann vom System liquidiert, wobei auch die letzten Doodles an den Angreifer zurückgegeben wurden.
Keine Chance für einen White Hat Appell
Nach den jüngsten Angriffen auf DeFi haben kürzlich ausgebeutete Entwickler oft offene Appelle an die Hintermänner des Hacks gerichtet und angeboten, sie als White-Hat-Ereignis als Gegenleistung für die meisten oder alle gestohlenen Gelder zu betrachten.
In einigen Fällen hat dies gut funktioniert – der Optimismus-Exploit zum Beispiel gab den größten Teil der Gelder zurück, nachdem er um Rat von Vitalik Buterin gebeten hatte. Die Entwickler von Harmony versuchten kürzlich den gleichen Ansatz, wurden jedoch kurzerhand ignoriert, als das Waschen der gestohlenen Token begann.
In diesem Fall hatte der Einspruch keine Chance, da der Angreifer sein neu angeeignetes Geld sofort an Tornado schickte, einen Mischdienst, der die Herkunft von Geldern verschleiert. Aufgrund dieser Fähigkeit wird es häufig von Cyberkriminellen verwendet, die versuchen, unrechtmäßig erworbene Gewinne zu waschen.
OMNI-Protokoll ausgesetzt
Das OMNI-Protokoll – noch in der Beta-Phase – wurde von den verantwortlichen Entwicklern abgeschaltet, da Audits und Sicherheitspatches anstehen. Darüber hinaus bestätigten OMNI-Entwickler, dass keine Kundengelder von dem Exploit betroffen waren, was darauf hindeutet, dass es sich bei dem unterschlagenen wETH um „interne Testgelder“ handelte.
„OMNI befindet sich noch in der Testphase (Beta). Es gingen keine Kundengelder verloren, nur interne Testgelder waren betroffen! Wir haben das OMNI-Protokoll ausgesetzt, bis wir die Untersuchung abgeschlossen haben und alles erneut von externen Sicherheits- und Wirtschaftsprüfungsfirmen überprüfen lassen.“
Unglücklicherweise für die Entwickler und Fans des Projekts sieht es so aus, als müsste OMNI noch eine Weile länger als geplant in der Beta bleiben.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
