A plataforma de token não fungíveis (NFTs) Omni foi alvo de uma exploração que resultou na perda de 1.300 wETH. Ou seja, cerca de R$ 7,5 milhões na cotação em reais no momento do ataque.
Omni é um mercado monetário que permite que os usuários façam staking de seus NFTs na plataforma – em geral, itens de coleções populares como Bored Ape Yacht Club (BAYC) – para receber em troca tokens como ETH.
De acordo com a empresa de segurança em blockchain PeckShield, o que houve foi a exploração de reentrada
It seems a reentrancy-related hack. @ParallelFi @OMNI_xyz The stolen funds were just mixed via @TornadoCash https://t.co/Nyunlkk3rr pic.twitter.com/XxxVyX80Fq— PeckShield Inc. (@peckshield) July 10, 2022
“Parece um hack relacionado a reentrada. A ParallelFi e OMNI_xyz, os fundos roubados foram misturados via Tornado Cash”, tuitou a empresa no último domingo (10).
A reentrada é uma vulnerabilidade que permite que um agente malicioso force seu contrato inteligente a fazer uma chamada externa para um contrato não confiável. Então, o invasor usa essa chamada externa para “reentrar” diversas vezes no protocolo e drenar sua liquidez.
A Omni confirmou a exploração em sua conta no Twitter. No entanto, a plataforma de NFTs afirmou que o ataque não afetou os fundos dos clientes.
Em vez disso, apenas criptomoedas de “testes internos” teriam sido perdidas. Isso porque a plataforma ainda está no modo de teste beta.
Além disso, a equipe Omni comunicou que suspendeu o protocolo Omni até a conclusão da investigação e até empresas externas de segurança e auditoria revisarem o caso.
Detalhes do exploit
Conforme explicou o CEO da empresa de segurança blockchain BlockSec, Yajin Zhou, ao The Block, neste caso, o invasor depositou na Omni NFTs de uma coleção chamada Doodles. Então, ele usou os NFTs como garantia para pegar wETH emprestados.
Com a garantia do empréstimo, o explorador conseguiu retirar todos os Doodles, exceto um deles. Isso teria resultado na anulação da dívida. Em seguida, como o Doodle que restou na plataforma não era mais suficiente para cobrir a dívida, o sistema liquidou a posição e devolveu o último NFT ao explorador.
De acordo com dados da Etherscan, o explorador já lavou os fundos via Tornado Cash, um serviço de mistura de criptomoedas para transações privadas no Ethereum.
Ataques ao setor de NFTs Embora o setor de NFTs esteja desacelerando em termos de vendas, ele continua sendo um dos mais ativos no mercado de criptomoedas.
Como consequência, isso o torna um dos alvos preferidos dos hackers. Recentemente, vários ataques contra plataformas de NFTs ocorreram.
O pool de empréstimos de NFTs baseado em Ethereum (ETH), o XCarnival, por exemplo, perdeu mais de 3.087 ETH (cerca de R$ 20 milhões) em um ataque hacker no fim de junho.
Mas, conforme noticiou o CriptoFácil, cerca de 12 horas após o ataque, o XCarnival conseguiu negociar com o hacker a devolução dos fundos roubados.
Para isso, ofereceu ao invasor uma recompensa de 1.500 ETH e prometeu isenção de ações legais. O hacker aceitou a proposta da equipe e devolveu parte dos fundos ao protocolo.