Содержание:
«Metaverse Asset Bank», Carnival, который испытал эксплойт смарт-контракта в шквале операции и привело к получению около 3,000 ETH хакером, нашел решение, которое уменьшило ущерб платформе и сделало хакера лучше, согласно Пекшилд Инк.
Как взлом произошел?
Недостаток в коде платформы позволил хакерам вывести обязались NFT и использовать их в качестве залога. Позднее этот механизм был использован для слива активов из пула. Основной проблемой было отсутствие суждения в договоре, который не проверял, был ли заложенный NFT отозван заемщиком.
Как всегда, хакер получил свои средства от решения для микширования монет Tornado Cash, что позволило ему остаться полностью анонимным. Потенциально эксплуататор мог легко отмыть украденные средства и остаться незамеченным, а затем каким-то образом перевести их в фиат.
Хороший конец
К счастью для пользователей платформы и команды менеджеров, хакер согласился вернуть половину украденных средств только при одном условии: если вся история с эксплойтом будет считаться «баунти-баунти», он избежит всех будущих судебных исков.
Похоже, что оставшиеся 1467 ETH только что возвращены. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) 27 июня 2022
Он попросил генерального директора Carnival предоставить владельцу адреса, оканчивающегося на «B800a», вознаграждение в размере 1,500 ETH в обмен на украденные средства. По сути, платформа выплатила хакеру вознаграждение в размере 1.8 миллиона долларов, что считается более чем щедрый.
С начала года количество эксплойтов и взломов различных платформ DeFi и коллекций NFT значительно сократилось, скорее всего, из-за падения популярности обеих отраслей и обвала рынка криптовалют в мае и июне.
Источник: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how