Omni Siber Saldırıya Uğradı! Kayıp 1.300 Ethereum!
Kullanıcıların NFT’lerini stake ederek token kazandığı bir platform olan Omni, 10 Temmuz 2022 Pazar günü siber saldırıya uğradı.
PeckShield’in yaptığı açıklamaya göre, Omni platformu 10 Temmuz 2022 Pazar günü flash loan reentrancy saldırısına uğradı. Reentrancy, Solidity’te kodlanmış projelerde bilinen bir güvenlik açığıdır. Bu açık, siber saldırganın, akıllı sözleşmesini dışarıdan bir bağlantı ile güvenilmeyen bir sözleşmeye bağlamasına olanak tanır. Bu dışarıdan yapılan bağlantı orijinal işlevden önce çalıştırılır ve protokolün likiditesini boşaltmak için tekrar tekrar kullanılabilir.
Omni Saldırısının Ayrıntıları
Blok zinciri güvenlik şirketi BlockSec’in CEO’su Yajin Zhou, yaptığı bir açıklamada saldırıyı açıkladı. Zhou’nun açıklamasına göre saldırgan platforma Doodles adlı NFT koleksiyonundan NFT’ler yatırdı. Bu NFT’ler Wrapped ETH (WETH) ödünç almak için teminat olarak kullanıldı. Sonrasında saldırgan reentrancy açığını kullanarak NFT’lerden bir tanesi hariç hepsini geri çekti. Bu işlem saldırganın dışarıdan kötü amaçlı bağlantısını kurmasına olanak sağladı. Bu bağlantı, saldırganın kredi pozisyonunun tasfiye edilmeden önce ödünç aldığı fonlar ile daha fazla Doodles NFT’si satın almasına izin verdi.
Kredi pozisyonu tasfiye edilince teminat olarak yatırılan Doodle NFT’leri saldırganın cüzdanına geri döndü. Daha sonra saldırgan elindeki yeni Doodles NFT’lerini de platformdan borç almak için teminat olarak gösterdi. Ancak Omni platformu yeni borç pozisyonunu tanıyamadı ve saldırgan, NFT’lerin kredisini geri ödemeden çekebildi.
Saldırgan, protokolden 1.300 WETH (1,4 milyon dolar) değerinde para çaldı. Konu hakkında açıklama yapan Omni, platformun beta test aşamasında olduğunu ve bu yüzden kullanıcıların parasına dokunulmadığını ve sadece dahili test fonlarından para çalındığını açıkladı.
NFT platformu, araştırmanın tamamlanması için protokolün durdurulduğunu açıkladı. Etherscan’den alınan verilere göre saldırgan çoktan çaldığı paraların izini Tornado Cash aracılığıyla kaybettirdi.
İlginizi çekebilir: Flash Loan Nedir ?
Flash loan’da, eğer işlem maliyeti Airdrop tokenının değerinden küçükse, bir saldırı fırsatı yaratıyor. Bu işlem daha önce de kullanılmıştı. Daha önce ApeCoin’in yaptığı airdropa da flash loan saldırısı yapılmıştı.
Daha Fazla Kripto Para Haberleri İçin: Kripto Para Haberleri
Daha fazla Blockchain Haberleri için: Blockchain Haberleri
Gelişmelerden ve son dakikalardan haberdar olmak, kripto para dünyasında aktif bir yer edinmek istiyorsanız Telegram kanalımıza bekliyoruz.
