OMNI, una plataforma de financiación de NFT que presta criptomonedas a cambio de NFT apostados, fue víctima de un exploit de reingreso que provocó la pérdida de casi 1300 ETH, con un valor de 1,4 millones de dólares en ese momento.
Parece un truco relacionado con el reingreso. @paralelofi @OMNI_xyz Los fondos robados solo se mezclaron a través de @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq
— PeckShield Inc. (@peckshield) 10 de julio de 2022
Deudas incobrables debido a un código no válido
El proyecto en cuestión perdió fondos tras una apuesta de mala fe por parte de NFTs de la colección Doodle. Para llevar a cabo el ataque, el atacante primero depositó Doodles como garantía para un préstamo ETH envuelto (wETH). Una vez que se aseguró el préstamo, el explorador pudo retirar todos menos uno de los Doodles, lo que provocó una función de devolución de llamada que anuló la deuda adquirida por el explorador. compras WETH.
Una vez completados estos dos pasos, el Doodle que quedó en la plataforma ya no fue suficiente para cubrir la deuda contraída. Luego, el sistema liquidó la posición y también devolvió el último de los Doodles al atacante.
No hay posibilidad de un atractivo de sombrero blanco
A raíz de los recientes ataques de DeFi, los desarrolladores recientemente explotados a menudo han hecho llamamientos abiertos a los que están detrás del hackeo, ofreciendo considerarlos un evento de sombrero blanco a cambio de la mayoría o la totalidad de los fondos robados.
En algunos casos, esto funcionó bien: el explorador Optimism, por ejemplo, devolvió la mayor parte de los fondos después de pedirle consejo a Vitalik Buterin. Los desarrolladores de Harmony probaron recientemente el mismo enfoque, pero fueron ignorados sumariamente cuando comenzó el lavado de tokens robados.
En este caso, la apelación nunca tuvo la oportunidad de realizarse, ya que el atacante inmediatamente cargó su wETH recientemente asignado a Tornado, un servicio de mezcla que ofusca el origen de los fondos. Debido a esta capacidad, los ciberdelincuentes suelen utilizarla para intentar blanquear ganancias obtenidas de forma ilícita.
Protocolo OMNI suspendido
El protocolo OMNI, aún en versión beta, ha sido cancelado por los desarrolladores responsables, con auditorías pendientes y parches de seguridad. Además, los desarrolladores de OMNI confirmaron que los fondos de los clientes no se vieron afectados por el exploit. indicando que el wETH desviado eran «fondos de prueba internos».
“OMNI todavía está en pruebas (beta). ¡No se perdieron fondos de clientes, solo se vieron afectados los fondos de pruebas internas! Hemos suspendido el protocolo OMNI hasta que completemos la investigación y lo revisemos nuevamente por firmas externas de seguridad y auditoría”.
Desafortunadamente para los desarrolladores y fanáticos del proyecto, parece que OMNI tendrá que permanecer en beta por más tiempo del planeado previamente.
