Кредитная платформа Ethereum XCarnival подтвердил злоумышленник украл 3.8 миллиона долларов или 3,087 ETH. Согласно отчету компании Peck Shield, занимающейся сетевой безопасностью, хакер воспользовался уязвимостью в смарт-контракте протокола, одолжив ETH и создав «несколько ордеров на залог для залога NFT BAYC (Bored Ape Yacht Club) много раз».
Связанные Чтение | Morgan Creek заявил, что участвует в тендере на получение 250 миллионов долларов для противодействия спасению FTX BlockFi
XCarnival работает как кредитный пул невзаимозаменяемых токенов (NFT). Платформа позволяет держателям NFT вносить свои активы в обмен на ликвидность. Этот процесс включает в себя три смарт-контракта: менеджер NFT, P2Controller для управления ограничениями кредитования и хранилище средств, как заявил другой охранной фирмой Go+ Security.
Хакер купил предмет 5110 из популярной коллекции NFT Bored Ape Yacht Club на OpenSea. Позже он разместил этот актив на XCarnival и провел атаку, чтобы «использовать тот же NFT для заимствования».
Другими словами, злоумышленник смог заложить NFT, одолжить ETH, а затем удалить NFT, не возвращая кредит. Злоумышленник выполнил этот процесс несколько раз, пока бассейн не был опустошен.
Go+ Security объяснила, что хакер создал главный смарт-контракт и несколько «подчиненных» смарт-контрактов для проведения атаки:
Затем ведомый 5338 отозвал NFT и отправил его обратно мастеру, который затем повторил этот процесс с другими ведомыми. Таким образом они создали множество идентификаторов заказов, которые впоследствии можно использовать в качестве кредитных учетных данных. Но прослушанный контракт xNFT не отозвал учетные данные после отзыва.
XКарнавал работать с уязвимостью в смарт-контрактах, упомянутой выше, которая позволяет проводить атаки, если пользователь остается в определенных пределах. Go+ Security добавила об атаке и уязвимости смарт-контракта: «Залог все еще действителен после снятия. Это очень простая и наивная ошибка в реализации контракта».
В свете успешной атаки протокол кредитования NFT на основе Ethereum решил предложить хакеру сделку.
Платформа Ethereum заключает сделки со своим злоумышленником
Согласно официальной учетной записи Twitter, XCarnival предложил хакеру вознаграждение в размере 1,500 ETH или 1.8 миллиона долларов. Половина украденных средств. Злоумышленнику нужно было только вернуть вторую половину, а деньги остались у них без каких-либо юридических последствий.
Команда платформы подтвердила, что хакер согласился с условиями. Половина украденных средств была возвращена в пул. Кредитная платформа Ethereum утверждает, что «органы безопасности предварительно определили географическое местоположение хакера».
Это заявление, кажется, намекает на возможные юридические последствия для злоумышленника, но команда, стоящая за этим проектом, еще не предоставила больше информации.
7/8 Средства возвращеныhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Таль Беэри (@TalBeerySec) 27 июня 2022
Это не первый раз, когда хакер соглашается вернуть часть или всю сумму украденных средств. Некоторые хакеры атакуют платформы децентрализованных финансов (DeFi) и часто держат деньги в заложниках, пока не получат оплату за то, что они считали «услугой». Другим проектам повезло меньше, и они платят максимальную цену.
Связанные Чтение | Harmony Dangles получит вознаграждение в размере 1 миллиона долларов за возврат украденных средств в размере 100 миллионов долларов - этого достаточно?
На момент написания статьи Ethereum (ETH) торгуется на уровне 1,180 долларов с потерей 3% за последние 24 часа.
Источник: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/