• 平台通知 交易行情
      查看更多
    • 語言&匯率
    • 偏好設定
      漲跌顏色
      漲跌幅起始時間
    Web3 交易所
    Gate博客

    加密貨幣新聞、熱點&行業洞察

    Gate.io 博客 NFT协议OMNI因重入攻击损失1300ETH

    NFT协议OMNI因重入攻击损失1300ETH

    07月25日 16:08



    摘要

    🔷 NFT协议OMNI遭到黑客攻击,导致1300 ETH内部测试资金被盗。

    🔷 攻击者使用的重入攻击是一种利用智能合约缺陷进行的攻击方式。

    🔷 NFT领域仍是那些寻找机会蓄意破坏系统进而卷款潜逃之不法分子的热门作案目标。


    2022年7月10日,NFT协议OMNI遭遇攻击,测试资金损失1300 ETH。根据NFT货币市场显示,目前并无用户资金受到影响。OMNI团队进一步解释说,该协议在暂用期间仍处于测试阶段。并进一步表明,目前团队正调查此次遭受攻击的原因。然而,区块链安全公司PeckShield后来表示,此次攻击似乎是一次与重入相关的攻击。OMNI团队尚未对此次攻击进行全面审查和剖析。

    OMNI Tweet

    近日在DeFi和NFT领域发生了数起网络攻击事件,造成数亿美元的损失。

    OMNI是一个提供借贷服务的NFT货币市场。基于此市场,用户可以通过出借NFT和其他ERC-20代币赚取利息。该类资产也可以作为贷款的抵押品。


    NFT和网络攻击


    尽管交易步伐放缓,NFT市场仍是目前加密货币行业最活跃的分区市场之一。因此,它也成为黑客们的首要目标,黑客们夜以继日地寻求机会破坏系统,盗取资金。

    此类攻击今年已发生过多次。NFT借贷池XCarnival因一次黑客攻击丢失1500ETH,造成损失约400万美元。针对Discord、无聊猿游艇俱乐部和其他社交媒体平台也发现多次网络钓鱼攻击尝试。

    此类事件中最引人注目的一次攻击是Ronin Bridge黑客攻击事件,该事件造成的损失高达6亿多美元。分析人士称,朝鲜黑客是该起事件的幕后黑手。然而,由于最近的加密市场行情下滑,朝鲜被盗加密货币的价值大幅下跌。


    什么是重入攻击?


    重入是一个多应用于计算领域的相关术语,假设有两个合约A和合约B,合约A调用合约B。 在这种攻击中,当第一个调用仍在执行时,合约B调用合约A,这在某种程度上导致了一个循环。我们每日都会使用重入函数来确保计算的安全性。例如,通过此函数,用户可以在服务器上打开电子邮件草稿,如需发送另一封电子邮件只须暂且退出,发送成功后即可返回草稿继续撰写发送。

    就像一个设计简单的用于存取款的网上银行系统,其中账户余额仅在初始阶段会进行检查。用户可以在不转账的情况下发起多次转账指令。银行系统将确认用户的账户有足够的资金用于每次转账。如果在实际发送转账指令时未进行其他验证,则用户可能会发送所有交易并超过其账户余额。


    一些重大重入攻击事件


    DAO黑客攻击
    最知名的一次重入攻击事件发生于2016年,当时以太坊的DAO(去中心化自治组织)在以太网上因黑客攻击,损失了6000万美元。以太坊的DAO是一个旨在充当投资者导向的风险投资公司的项目,网络成员可以在其中投票决定要投资的项目。

    DAO筹集了1.5亿美元,可以说是历史上最成功的众筹项目之一。然而,计算机科学家和社区中的其他成员担心,由于代码中的递归调用错误,持有资金的智能合约容易受到重入攻击。

    DAO黑客攻击事件已成为区块链历史上的一个分水岭时刻,尤其是因为此次攻击导致以太坊硬分叉回收资金,并在此过程中诞生了以太坊经典(Ethereum Classic)。这也是区块链安全的真实实践经验和教训,重入漏洞是任何专业智能合约审计的检入标准。

    Lendf.me协议
    2020年4月18日,一名黑客利用重入攻击从 Lendf.me协议(一种基于加密货币的金融协议,旨在支持以太坊平台上的借贷运营服务)窃走2500万美元。黑客利用Lendf.me平台中的一个漏洞,使ERC777代币成为以太坊代币标准,用于在交易用作抵押品的代币时进行更复杂的交互。开发人员没有注意到ERC777代币包括一个回调函数,运用该函数可以在发送或接收资金时提醒用户。黑客便通过将接收者作为智能合约,利用这一原本安全的代币标准进行复杂的重入攻击,从而盗走Lendf.me平台99.5%的资金。


    防止重入攻击的有效方法


    首先,您需要对项目执行第三方智能合约审计。这是最有效的步骤之一。此外,希望抵御重入攻击的开发人员应密切关注其代码结构,尤其涉及任何包含回调函数的智能合约。通常,如果智能合约审计发现项目易受重入攻击,他们会建议重组代码,以在资金发送前更新余额。否则,他们可能建议使用其他功能进行资金转账。

    NFT领域和区块链行业的开发人员须在安全性方面提高自我水平,对代码结构始终保持慎之又慎,因为一旦有所纰漏,可能会使整个项目的努力成果付之东流。OMNI这次很幸运。因为黑客盗走的只是内部测试资金,而非有价值的资产。



    作者:Gate.io研究员M. Olatunji 译者: Joy Z.
    *本文仅代表研究员观点,不构成任何交易建议。
    *本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处,否则将追究法律责任。




    ETH/USDT + 8.90%
    BTC/USDT + 1.85%
    GT/USDT + 4.87%
    解鎖盲盒最高獲$6666獎勵
    立即註冊
    即刻領取20點卡
    新人專享,僅需2步馬上獲得點卡

    🔑 註冊帳戶

    👨‍💼 24小時內進行身份認證

    🎁 獲得點卡獎勵

    馬上領取
    語言及地區
    匯率

    選擇語言及地區

    前往土耳其站點?
    土耳其站已上線
    可點擊前往TR分站,或是繼續留在國際站