Nền tảng cho vay NFT Omni đã bị hacker ăn trộm 1.300 ETH (tương đương 1,43 triệu USD).
Omni chịu trận
Nền tảng cho vay NFT Omni đã bị hacker ăn trộm 1.300 ETH (tương đương 1,43 triệu USD) theo phương thức tấn công flash-loan.
Cụ thể, nhóm hacker đã lợi dụng lỗ hổng bảo mật.
Ban đầu hacker nạp một số NFT Doodles vào Omni và sử dụng chúng làm tài sản thế chấp để vay WETH. Sau đó hắn rút tất cả các NFT (trừ các NFT là tài sản thế chấp). Với số tiền đã vay, hacker mua vào 1 số lượng lớn Doodle khi bị thanh lý vị thế vay.
Sau khi bị thanh lý, NFT Doodle còn lại từ tài sản thế chấp ban đầu sẽ được trả lại cho hacker.
Bước tiếp theo là sử dụng Doodles có được với khoản vay ban đầu làm tài sản thế chấp để vay thêm WETH. Đến đây, Omni đã không thể nhận ra vị thế nợ mới này, do đó tin tặc có thể rút NFT mà không phải trả lại khoản vay.
Sau khi vay được một lượng lớn NFT, hacker đã sử dụng chúng nhằm thao túng và kiếm lời từ chênh lệch giá.
Cuộc tấn công đã gây ra thiệt hại hơn 1.300 WETH (tương đương với 1,4 triệu USD) cho Omni.
Trả lời báo giới, đại diện Omni khẳng định, mặc dù hệ thống xảy ra sự cố nhưng vị thế và tài sản của khách hàng vẫn được đảm bảo, vì chỉ có chỉ các quỹ thử nghiệm nội bộ mới chịu tổn thất.
Ngay sau đó, Omni đã dừng mọi hoạt động giao dịch để tiến hành điều tra và vá lỗi lỗ hổng bảo mật.
Con mồi béo bở của hacker
Omni là một nền tảng staking NFT, thường dành cho các bộ sưu tập NFT phổ biến như Bored Ape Yacht Club, để nhận về các token như Ether (ETH).
Không chỉ là các thông tin về định danh cá nhân, từ lâu, các sàn giao dịch tiền điện tử vẫn là miếng mồi ngon của các nhóm tội phạm mạng công nghệ cao.
Mặc dù ở thời điểm hiện tại, thị trường crypto đang rơi vào trạng thái downtrend, thế nhưng không có gì là chắc chắn cho những gì sẽ đến vào tương lai, dĩ nhiên, các tài sản tiền mã hóa vẫn là miếng mồi thơm.
Theo thống kê của công ty dữ liệu Chainalysis, trong tổng số 11 tỷ USD tiền điện tử bất chính mà tội phạm mạng nắm giữ năm 2021, có tới 93% có được từ việc trộm cắp.
Trong đó, có nhiều vụ tấn công với thiệt hại hàng trăm triệu USD được thực hiện những năm qua.
Flash-loan (hay còn được hiểu đơn giản là khoản vay nhanh) – vốn là con dao sắc bén trong ngành tài chính DeFi.
Tính năng này cho phép nhà đầu tư vay tiền mà không cần tài sản thế chấp, nhưng họ phải trả lại số tiền đã vay trong cùng một giao dịch.
Mặc dù tiện lợi và được nhiều nhà đầu tư sử dụng nhưng Flash-loan cũng là miếng mồi béo bở mà kẻ xấu hay lợi dụng để “kiếm ăn” gây ra thiệt hại hàng triệu USD cho “nhà cái”.
Các quan điểm và ý kiến được thể hiện bởi tác giả, hoặc bất kỳ người nào được đề cập trong bài viết này, chỉ nhằm mục đích cung cấp thông tin và chúng không cấu thành lời khuyên về tài chính, đầu tư hoặc các lời khuyên khác.