Thêm một vụ tấn công gây thiệt hại nghiêm trọng khi nền tảng lending NFT Omni bị hacker rút 1,4 triệu USD

Omni, một nền tảng cho vay NFT, đã bị chiếm đoạt 1.300 ETH (tương đương 1,43 triệu USD) trong một cuộc tấn công theo phương thức flash-loan vào hôm qua.

Theo hãng bảo mật PeckShield, đầu giờ chiều ngày 11/07, hacker đã sử dụng cơ chế flash loan để rút tiền từ hợp đồng lending NFT của Omni. Sau khi vay được một lượng lớn NFT, hắn ta đã sử dụng chúng để thao túng và kiếm lời từ chênh lệch giá.

Omni là một nền tảng staking NFT, thường dành cho các bộ sưu tập NFT phổ biến như Bored Ape Yacht Club. Người dùng có thể staking NFT để nhận về các token như Ether (ETH) trên nền tảng này. Yajin Zhou, Giám đốc điều hành của công ty bảo mật blockchain BlockSec, đã giải thích quá trình tấn công như sau:

– Ban đầu, kẻ tấn công nạp một số NFT Doodles vào nền tảng Omni và sử dụng chúng làm tài sản thế chấp vay WETH.

– Sau đó, hacker khai thác lỗ hổng “reentrancy” trên Omni bằng cách rút tất cả trừ một trong những NFT được gửi làm tài sản thế chấp. Hành động này đã kích hoạt chức năng “gọi lại” độc hại, cho phép tin tặc sử dụng số tiền đã vay để mua nhiều Doodle hơn nữa trước khi bị thanh lý vị thế vay. 

– Sau khi bị thanh lý, NFT Doodle còn lại từ tài sản thế chấp ban đầu sẽ được trả lại cho kẻ tấn công. Đây là lúc reentrancy phát huy vai trò, kẻ tấn công có thể sử dụng WETH đã vay để mua thêm NFT trước khi tình trạng thanh lý xảy ra.

– Bước tiếp theo là sử dụng Doodles có được với khoản vay ban đầu làm tài sản thế chấp để vay thêm WETH. Đến đây, Omni đã không thể nhận ra vị thế nợ mới này, do đó tin tặc có thể rút NFT mà không phải trả lại khoản vay.

Cuộc tấn công đã gây ra thiệt hại hơn 1.300 WETH (tương đương với 1,4 triệu USD) cho Omni. Giao thức khẳng định sự cố không gây ảnh hưởng đến bất kỳ quỹ nào của khách hàng vì chỉ các quỹ thử nghiệm nội bộ mới chịu tổn thất và nền tảng vẫn đang trong giai đoạn thử nghiệm beta.

Ngay sau cuộc tấn công, Omni đã tạm dừng giao thức để có thêm thời gian điều tra. Dữ liệu từ Etherscan cho thấy kẻ tấn công đã rửa số tiền trộm đươc qua máy trộn giao dịch Tornado Cash.

Flash Loan (Khoản vay nhanh) là một tính năng cho phép người dùng vay tiền mà không cần tài sản thế chấp, nhưng họ phải trả lại số tiền đã vay trong cùng một giao dịch. Tức là nhà đầu tư sẽ vay một số tiền nhất định và hoàn trả lại chúng trong một khoảng thời gian đủ để hoàn thành một block giao dịch.

Tính năng này không yêu cầu người đi vay cung cấp các giấy tờ xác minh danh tính, bằng chứng thu nhập hoặc tài sản thế chấp. Các giao thức tài chính phi tập trung (DeFi) trên blockchain Ethereum đã góp phần giúp cho Flash Loan trở nên phổ biến hơn.

Đây là “con dao hai lưỡi” của ngành DeFi, song vẫn không thể phủ nhận được lợi ích mà nó mang lại là một nguồn thanh khoản dồi dào cho các giao thức. Đồng thời nó cũng là miếng mồi béo bở mà kẻ xấu hay lợi dụng để “kiếm ăn”, trường hợp trên cũng là một bài học xương máu cho ngành.