OMNI представляет собой платформу, на которой ты можешь стейкать свои NFT и получать за это крипту. Сейчас она находится в бета-тесте и по заверению разработчиков должна была вскоре выйти из него, но хацкеры решили иначе.
Оказия, о которой идет речь, была выполнена с помощью использования уязвимости в стейкинге и получении кредита. Сначала преступник загрузил свои NFT из коллекции Doodle в качестве залога, чтобы получить кредит в виде wETH. Как только кредит подтвердился на программном уровне и был полностью обеспечен, он вернул себе все свои NFT кроме одной, а затем вызвал функцию “callback”, которая аннулировала долг в wETH.
Звучит непросто, мы понимаем, но это для понимания действий, затем когда он выполнил два вышеописанных шага, в системе стало не хватать Doodle’ов для покрытия долга, из-за чего система автоматически ликвидировала позицию и вернула арбузеру последний Doodle.
В последствии хакер вывел около 1 300 ETH, а это около полутора миллиона долларов. Многие DeFi после подобных атак обращаются к хакерам, чтобы за часть от украденной суммы рассматривать их дело как white hat event (полностью законный взлом с целью проверки защищенности системы).
В случае с Optimism это дало хорошие результаты, но OMNI решили даже не делать такую публикацию, ибо токены сразу пошли в сервис Tornado, миксер которого помогает полностью скрыть происхождение крипты.
Важно также уточнить, что по словам самих разрабов, деньги юзеров не пострадали, насколько понятно из текста - это внутренние средства самой компании. Такое происшествие явно притормозит выход OMNI из бета-теста.