Omni၊ non-fungible တိုကင် (NFT) ငွေစျေးကွက်ပလပ်ဖောင်းသည်တနင်္ဂနွေနေ့တွင် flash loan reentrancy attack တွင် 1,300 ETH ($1.43 million) ခန့်ကို ဆုတ်ယုတ်သွားခဲ့သည်။ အညီ PeckShield သို့
Omni သည် အသုံးပြုသူများအား ether (ETH) ကဲ့သို့သော တိုကင်များကို လက်ခံရရှိရန် Bored Ape Yacht Club ကဲ့သို့သော လူကြိုက်များသော စုဆောင်းမှုများမှ အများအားဖြင့် ၎င်းတို့၏ NFTs များကို အစုရှယ်ယာဝင်ခွင့်ပြုသည်။
ယနေ့တိုက်ခိုက်မှုတွင် ဟက်ကာသည် Omni ပရိုတိုကောတွင် ပြန်လည်ဝင်ရောက်မှု အားနည်းချက်ကို အသုံးချနေသည်ကို တွေ့ရှိခဲ့သည်။ Reentrancy သည် ဆိုးသွမ်းသော သရုပ်ဆောင်တစ်ဦးအား ၎င်း၏ စမတ်စာချုပ်အား ပြင်ပသို့ ခေါ်ဆိုရန် မယုံကြည်ရသော စာချုပ်တစ်ခုသို့ ပြင်ပသို့ ခေါ်ဆိုမှုပြုလုပ်ရန် ဆိုးသွမ်းသော သရုပ်ဆောင်အား အတင်းအကြပ် ခွင့်ပြုသည့် Solidity ဖြင့် ကုဒ်လုပ်ထားသော ပရောဂျက်များတွင် လူသိများသော အားနည်းချက်တစ်ခုဖြစ်သည်။ ဤပြင်ပခေါ်ဆိုမှုကို မူလလုပ်ဆောင်ချက်မတိုင်မီ လုပ်ဆောင်ပြီး ယင်းကြောင့် ၎င်း၏ဖြစ်နိုင်ချေကို လျှော့ချရန်အတွက် ပရိုတိုကောကို ထပ်ခါတလဲလဲ ပြန်လည်ထည့်သွင်းရန်အတွက် အသုံးပြုနိုင်သည်။
Blockchain လုံခြုံရေးကုမ္ပဏီ BlockSec ၏ CEO ဖြစ်သူ Yajin Zhou က တိုက်ခိုက်သူသည် Doodles ဟုခေါ်သော အစုအဝေးတစ်ခုမှ NFTs များကို အပ်နှံထားကြောင်း The Block သို့ အသုံးချခြင်းလုပ်ငန်းစဉ်ကို ရှင်းပြခဲ့သည်။ ဤ NFTs များကို ETH (WETH) ချေးယူရန်အတွက် အပေါင်ပစ္စည်းအဖြစ် အသုံးပြုခဲ့သည်။
ထို့နောက် တိုက်ခိုက်သူသည် အပေါင်ပစ္စည်းအဖြစ် အပ်နှံထားသည့် NFTs များထဲမှ တစ်ခုမှလွဲ၍ အားလုံးကို ရုပ်သိမ်းခြင်းဖြင့် ပြန်လည်ဝင်ရောက်မှု အားနည်းချက်ကို အသုံးချခဲ့သည်။ ဒီလုပ်ရပ် ဖြစ်ပေါ် တိုက်ခိုက်သူ၏အကျိုးအတွက် အန္တရာယ်ရှိသော ဖုန်းခေါ်ဆိုမှုလုပ်ဆောင်ချက်။ ဤလုပ်ဆောင်ချက်သည် ဟက်ကာအား ချေးငွေရာထူးကို မဖျက်သိမ်းမီ Doodles များ ထပ်မံဝယ်ယူရန် ချေးထားသောရန်ပုံငွေများကို အသုံးပြုခွင့်ပေးခဲ့သည်။
ရာထူးကို ဖျက်သိမ်းပြီးသည်နှင့်၊ မူရင်းအပေါင်ပစ္စည်းမှ ကျန်ရှိသော Doodle NFT အား တိုက်ခိုက်သူထံ ပြန်လည်ပေးပို့ပါသည်။ ပြန်ခေါ်ခြင်းလုပ်ငန်းကို မတောင်းဆိုမီ အစပိုင်းတွင် အပေါင်ပစ္စည်းအဖြစ်ထားခဲ့သော NFT ၏တန်ဖိုးသည် ကြွေးမြီအနေအထားကို ကာမိရန် မလုံလောက်သောကြောင့် ချေးငွေအနေအထားကို ဖျက်သိမ်းလိုက်ပါသည်။ ဖျက်သိမ်းမှုမဖြစ်ပွားမီ NFTs များ ထပ်မံဝယ်ယူရန် တိုက်ခိုက်သူသည် ချေးထားသော WETH ကိုအသုံးပြု၍ ပြန်လည်ဝင်ရောက်လာသောကြောင့် ဤနေရာတွင် ပြန်လည်ဝင်ရောက်လာခြင်းဖြစ်ပါသည်။
ထို့နောက် တိုက်ခိုက်သူသည် WETH ပိုမိုချေးယူရန်အတွက် ကနဦးချေးငွေဖြင့် ရရှိထားသော Doodles ကို အသုံးပြုခဲ့သည်။ သို့သော် Omni သည် ဤကြွေးမြီအနေအထားအသစ်ကို အသိအမှတ်မပြုသောကြောင့် ဟက်ကာသည် ချေးငွေကိုပြန်မဆပ်ဘဲ NFTs များကို ထုတ်ယူနိုင်သည်။
တိုက်ခိုက်မှုသည် ပရိုတိုကောမှ WETH 1,300 (ဒေါ်လာ 1.4 သန်း) ကျော်ကို ထုတ်ယူခဲ့သည်။ ပလပ်ဖောင်းသည် beta စမ်းသပ်မှုမုဒ်တွင်ရှိနေဆဲဖြစ်သောကြောင့် အတွင်းပိုင်းစမ်းသပ်မှုရန်ပုံငွေများသာ သက်ရောက်မှုရှိသောကြောင့် အမြတ်ထုတ်မှုသည် မည်သည့်ဖောက်သည်ရန်ပုံငွေကိုမျှ ထိခိုက်ခြင်းမရှိကြောင်း Omni မှပြောကြားခဲ့သည်။
ပြီးပြည့်စုံသော စုံစမ်းစစ်ဆေးမှုကို ဆိုင်းငံ့ထားသည့် ပရိုတိုကောကို ခေတ္တရပ်ထားသည်ဟု NFT ငွေဈေးကွက်ပလက်ဖောင်းက ပြောကြားခဲ့သည်။ Etherscan မှဒေတာသည် အမြတ်ထုတ်သူသည် Ethereum ရှိ သီးသန့်ငွေပေးငွေယူများအတွက် အကြွေစေ့ရောစပ်သည့်ဝန်ဆောင်မှုဖြစ်သည့် Tornado Cash မှတစ်ဆင့် ရန်ပုံငွေများကို ခဝါချနေပြီဖြစ်သည်။
© 2022 The Block Crypto, Inc. All Rights Reserved ။ ဤဆောင်းပါးသည်အချက်အလက်ဆိုင်ရာရည်ရွယ်ချက်များအတွက်သာဖြစ်သည်။ ၎င်းကိုတရားဝင်၊ အခွန်၊ ရင်းနှီးမြှုပ်နှံမှု၊ ဘဏ္financialာရေးသို့မဟုတ်အခြားအကြံဥာဏ်အဖြစ်အသုံးပြုရန်ရည်ရွယ်ခြင်းမဟုတ်ပါ။
အရင်းအမြစ်- https://www.theblock.co/post/156800/hacker-drains-1-4-million-worth-of-eth-from-nft-lender-omni?utm_source=rss&utm_medium=rss