En circunstancias similares al exploit de $80 millones a principios de mayo de la plataforma DeFi Rari Capital, la plataforma del mercado monetario NFT Omni perdió 1300 ETH (alrededor de $1,43 millones) en un ataque de reingreso de préstamo relámpago el fin de semana pasado:
Según un tweet de la firma de seguridad blockchain PeckShield, el ataque del 10 de julio tomó la forma de un pirata informático que utilizó NFT de una colección llamada Doodles como garantía para prestar ETH empaquetado (WETH). El hacker aprovechó la vulnerabilidad de reentrada al eliminar todos los Doodle NFT menos uno. Esto desencadenó una función de devolución de llamada maliciosa, lo que permitió al pirata informático usar los fondos prestados para comprar aún más Doodles antes de liquidar la posición del préstamo.
Hacker usa WETH prestado para comprar más NFT
El NFT restante nunca cubriría la posición de la deuda, y aquí es donde entra en juego el reingreso: el atacante puede usar el WETH prestado para comprar más NFT antes de liquidar el préstamo.
Según un comunicado de Omni, el exploit no afectó a ningún cliente, ya que solo se vieron afectados los fondos de prueba internos, ya que la plataforma aún se encuentra en modo de prueba beta y desde entonces ha detenido todas las operaciones en espera de una investigación completa:
Declaración:
1/ OMNI aún está en pruebas (beta). ¡No se perdieron fondos de clientes, solo se vieron afectados los fondos de pruebas internas!
Ponemos el protocolo OMNI en suspenso hasta que completemos la investigación y tengamos todo revisado nuevamente por firmas externas de seguridad y auditoría.
— OMNI (@OMNI_xyz) 10 de julio de 2022
Los datos de Etherscan muestran que el hacker ya ha lavado los fondos a través de Tornado Cash. Este modus operandi cada vez más común también se implementó cuando MM.Finance, el mayor intercambio de DeFi en Cronos, explotó una vulnerabilidad en su sistema de nombres de dominio en mayo, menos de una semana después del ataque a Rari Capital.
