NFT(비대체성 토큰) 금융 플랫폼 ‘Omni’가 10일 해킹을 받고 약 1,300ETH가 유출된 것으로 나타났다. 보안 기업인 펙쉴드가 지적했다.

Omni는 NFT(비대체성 토큰)를 담보로 암호화폐의 대출을 제공하는 금융 플랫폼으로 인기 NFT 컬렉션 'Bored Ape Yacht Club(BAYC)', 'CryptoPunks', 'Doodles' 등을 스테이킹 함으로써 이더리움을 비롯한 ERC-20 토큰을 빌릴 수 있다.

Omni는 공식 성명에 따르면, 현재 베타버전으로 시험 운용중으로 고객 자금은 손실되지 않았다고 해명했다. 내부 테스트용 자금에만 영향이 있으며, 외부의 보안·감사기업에 의한 조사와 확인 작업이 완료될 때까지 Omni 프로토콜을 정지한다고 했다.

덧붙여, 펙쉴드가 언급한 'ParallelFi'와는 완전히 다른 체인으로 관계가 없는 것을 강조했다.

블록체인 보안 기업 블록섹에 의하면, Omni 해킹은 스마트 컨트랙트의 취약성을 이용한 리엔트랜시 공격이라고 전했다.

회사 CEO인 Yajin Zhou는 해커의 수법을 다음과 같이 설명했다.

1. Doodles 컬렉션의 NFT를 담보로 wETH(랩드 ETH)를 빌린다
2. 하나의 NFT를 남기고 모든 담보를 끌어내
3. 이 행위로 부정한 콜백 함수의 실행이 일으킨다(취약성)
4. 포지션 정산 전 대출된 wETH로 추가 NFT 구매
5. 그 NFT를 담보로 나아가 wETH를 차입
6. Omni 프로토콜은 이 부채를 인식하지 못했기 때문에 해커가 차입금을 상환하지 않고 NFT를 인출

이더스캔의 데이터에 따르면 해커는 이미 믹싱 서비스 'Tornado Cash'를 이용해 돈세탁(자금세탁)이 끝난 것으로 보인다.

타임스탬프 뉴스, 편집부
desk@timestampnews.net