Omni ដែលជាវេទិកាទីផ្សារប្រាក់ដែលមិនមែនជាសញ្ញាសម្ងាត់ (NFT) ត្រូវបានបង្ហូរចេញប្រហែល 1,300 ETH (1.43 លានដុល្លារ) នៅក្នុងការវាយប្រហារប្រាក់កម្ចីឡើងវិញភ្លាមៗកាលពីថ្ងៃអាទិត្យ។ នេះបើយោងតាម ទៅ PeckShield ។
Omni អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ភ្នាល់ NFTs របស់ពួកគេ ជាធម្មតាពីការប្រមូលដ៏ពេញនិយមដូចជា Bored Ape Yacht Club ដើម្បីទទួលបាននិមិត្តសញ្ញាដូចជា ether (ETH) ។
ការវាយប្រហារថ្ងៃនេះបានមើលឃើញថាពួក Hacker កេងប្រវ័ញ្ចភាពងាយរងគ្រោះឡើងវិញនៅក្នុងពិធីការ Omni ។ Reentrancy គឺជាភាពងាយរងគ្រោះដែលគេស្គាល់នៅក្នុងគម្រោងដែលសរសេរកូដជាមួយ Solidity ដែលអនុញ្ញាតឱ្យតួអង្គបញ្ឆោតទាំងឡាយបង្ខំកិច្ចសន្យាឆ្លាតវៃរបស់ខ្លួនឱ្យធ្វើការហៅខាងក្រៅទៅកាន់កិច្ចសន្យាដែលមិនគួរឱ្យទុកចិត្ត។ ការហៅខាងក្រៅនេះត្រូវបានប្រតិបត្តិមុនពេលមុខងារដើម ហើយដូច្នេះអាចត្រូវបានប្រើដើម្បីបញ្ចូលពិធីការម្តងហើយម្តងទៀតដើម្បីបង្ហូរសាច់ប្រាក់របស់វា។
Yajin Zhou នាយកប្រតិបត្តិនៃក្រុមហ៊ុនសន្តិសុខ blockchain BlockSec បានពន្យល់ពីដំណើរការនៃការកេងប្រវ័ញ្ចទៅកាន់ The Block ដោយនិយាយថាអ្នកវាយប្រហារបានដាក់ NFTs ពីបណ្តុំដែលហៅថា Doodles។ NFTs ទាំងនេះត្រូវបានប្រើប្រាស់ជាវត្ថុបញ្ចាំដើម្បីខ្ចីរុំ ETH (WETH)។
បន្ទាប់មកអ្នកវាយប្រហារបានទាញយកផលប្រយោជន៍ពីភាពងាយរងគ្រោះឡើងវិញដោយការដក NFTs ទាំងអស់ លើកលែងតែ NFTs មួយដែលបានដាក់ជាវត្ថុបញ្ចាំ។ សកម្មភាពនេះ។ កេះ។ មុខងារ callback ព្យាបាទ ដើម្បីជាប្រយោជន៍ដល់អ្នកវាយប្រហារ មុខងារនេះអនុញ្ញាតឱ្យពួក Hacker ប្រើប្រាស់មូលនិធិដែលបានខ្ចីដើម្បីទិញ Doodles កាន់តែច្រើនមុនពេលរំលាយទីតាំងប្រាក់កម្ចី។
នៅពេលដែលទីតាំងត្រូវបានរំលាយ នោះ Doodle NFT ដែលនៅសេសសល់ពីវត្ថុបញ្ចាំដើមត្រូវបានប្រគល់ត្រឡប់ទៅអ្នកវាយប្រហារវិញ។ ទីតាំងប្រាក់កម្ចីត្រូវបានរំលាយដោយសារតែតម្លៃនៃ NFT ដែលដំបូងត្រូវបានទុកជាវត្ថុបញ្ចាំ មុនពេលមុខងារហៅត្រឡប់មកវិញត្រូវបានហៅមិនគ្រប់គ្រាន់ដើម្បីគ្របដណ្តប់លើទីតាំងបំណុល។ នេះគឺជាកន្លែងដែលការចូលនិវត្តន៍ចូលមក ដោយសារអ្នកវាយប្រហារអាចបង្ខំដោយប្រើ WETH ដែលបានខ្ចី ដើម្បីទិញ NFTs បន្ថែមទៀត មុនពេលការរំលាយកើតឡើង។
បន្ទាប់មកអ្នកវាយប្រហារបានប្រើ Doodles ដែលទទួលបានជាមួយនឹងប្រាក់កម្ចីដំបូងជាវត្ថុបញ្ចាំដើម្បីខ្ចី WETH បន្ថែមទៀត។ ទោះជាយ៉ាងណាក៏ដោយ Omni មិនបានទទួលស្គាល់ទីតាំងបំណុលថ្មីនេះទេ ដូច្នេះអ្នកលួចចូលអាចដក NFTs ដោយមិនចាំបាច់សងប្រាក់កម្ចីវិញ។
ការវាយប្រហារនេះបានដកប្រាក់ជាង 1,300 WETH (1.4 លានដុល្លារ) ពីពិធីការ។ Omni បាននិយាយថាការកេងប្រវ័ញ្ចនេះមិនប៉ះពាល់ដល់មូលនិធិអតិថិជនណាមួយឡើយ ដោយសារមានតែមូលនិធិសាកល្បងផ្ទៃក្នុងប៉ុណ្ណោះដែលត្រូវបានប៉ះពាល់ ដោយសារវេទិកានេះនៅតែស្ថិតក្នុងទម្រង់សាកល្បងបេតា។
វេទិកាទីផ្សារប្រាក់ NFT បាននិយាយថា ខ្លួនបានផ្អាកពិធីសារ ដោយរង់ចាំការស៊ើបអង្កេតពេញលេញ។ ទិន្នន័យពី Etherscan បង្ហាញថាអ្នកកេងប្រវ័ញ្ចបានលាងលុយរួចហើយតាមរយៈ Tornado Cash ដែលជាសេវាកម្មលាយកាក់សម្រាប់ប្រតិបត្តិការឯកជននៅលើ Ethereum ។
រក្សាសិទ្ធិគ្រប់យ៉ាងដោយឆ្នាំ ២០២០ ។ អត្ថបទនេះត្រូវបានផ្តល់ជូនសម្រាប់គោលបំណងព័ត៌មានតែប៉ុណ្ណោះ។ វាមិនត្រូវបានផ្តល់ជូនឬមានបំណងត្រូវបានប្រើជាច្បាប់ពន្ធការវិនិយោគហិរញ្ញវត្ថុឬដំបូន្មានផ្សេងទៀតទេ។
ប្រភព៖ https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss