Платформа NFT XCarnival под атакой: злоумышленники используют токен BAYC

Содержание:

• Кредитная платформа XCarnival NFT атакована по необычному вектору
• Хакеры начали возвращать средства

Согласно протоколу Посмертный, спецслужбы уже «предварительно определили» местонахождение хакеров, ведутся переговоры.

Кредитная платформа XCarnival NFT атакована по необычному вектору

Согласно заявлению, распространенному PeckShield, ведущим поставщиком кибербезопасности для продуктов блокчейна, кредитная платформа NFT XCarnival подверглась атаке.

1/ @XCarnival_Lab был использован в шквале txs (один хак tx: https://t.co/LUcxSU9UQn),
что привело к выигрышу хакера в размере 3,087 ETH (~ 3.8 млн долларов США) (потеря протокола может быть больше). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) 26 июня 2022

Злоумышленникам удалось получить бесконечное количество кредитов с помощью одного и того же громкого NFT (Bored Apes Yacht Club #5110). Протокол стал мишенью для «шквала» транзакций, инициированных хакерами.

Злоумышленникам удалось сгенерировать несколько адресов контрактов, заложить BAYC NFT в качестве залога, получить кредит, немедленно вывести NFT и повторить эту процедуру несколько раз.

Таким образом, хакеры заняли более 3.8 миллиона долларов в эквиваленте Ethereum (ETH) без необходимости возвращать кредит. Это стало возможным из-за уязвимости в кодовой базе модуля заимствования.

Хакеры начали возвращать средства

Команда оперативно сообщила о проблеме кибербезопасности и правоохранительным органам. Первоначально хакеру было предложено вознаграждение в размере 300,000 1.8 долларов за возврат средств, но затем сумма была увеличена до XNUMX миллиона долларов.

Основной контракт, а также функции депозита и заимствования были закрыты, чтобы пользователи XCarnival не потеряли свои средства.

Когда злоумышленника удалось отследить, начались переговоры. На момент публикации он вернул 1,467 украденных эфиров (ETH). Также следует отметить, что первоначальные средства для атаки были выведены из миксера Tornado Cash.

Как сообщалось U.Today ранее, хакеры атаковали протокол децентрализованного кредитования/заимствования Inverse Finance в начале этого месяца; убытки превысили $1.25 млн в эквиваленте.