Platforma de creditare Ethereum XCarnival confirmat un actor rău a furat 3.8 milioane de dolari sau 3,087 ETH. Potrivit unui raport al firmei de securitate pe lanț Peck Shield, un hacker a exploatat o vulnerabilitate a contractului inteligent al protocolului împrumutând ETH și creând „comenzi de gaj multiple pentru a gaja BAYC (Bored Ape Yacht Club NFTs) de multe ori”.
Citire asemănătoare Morgan Creek a spus că va licita pentru a asigura 250 de milioane de dolari pentru a contracara salvarea FTX BlockFi
XCarnival funcționează ca un grup de creditare non-fungible token (NFT). Platforma permite deținătorilor de NFT să-și depună activele în schimbul lichidității. Acest proces implică trei contracte inteligente: un manager NFT, un P2Controller pentru a gestiona restricțiile de creditare și stocarea fondurilor, așa cum stabilit de o altă firmă de securitate Go+ Security.
Hackerul a cumpărat articolul 5110 din populara colecție Bored Ape Yacht Club NFT de pe OpenSea. Mai târziu, el a depus acest activ pe XCarnival și a efectuat un atac pentru a „utiliza același NFT pentru împrumut”.
Cu alte cuvinte, atacatorul a putut să angajeze NFT, a împrumutat ETH și apoi să elimine NFT fără a rambursa împrumutul. Actorul rău a finalizat acest proces de mai multe ori până când piscina a fost drenată.
Go+ Security a explicat că hackerul a creat un Master smart contract și mai multe contracte inteligente „sclave” pentru a conduce atacul:
Apoi Slave 5338 a retras NFT-ul și l-a trimis înapoi către Master, care a repetat apoi acest proces cu alți Sclavi. În acest fel, au creat multe orderID-uri, care pot fi folosite ulterior ca acreditări de împrumut. Dar contractul xNFT cu erori nu a revocat acreditările după retragere.
XCarnaval's operat cu o vulnerabilitate pe contractele sale inteligente, menționate mai sus, care permit atacul dacă utilizatorul rămâne într-un anumit interval. Go+ Security a adăugat despre atac și vulnerabilitatea contractului inteligent: „Colateralul este încă valabil după retragere. Acesta este un bug foarte simplu și naiv în implementarea contractului.”
În lumina atacului de succes, protocolul de creditare NFT bazat pe Ethereum a decis să ofere hackerului o afacere.
Platforma Ethereum face tranzacții cu atacatorul său
Potrivit contului său oficial de Twitter, XCarnival i-a oferit hackerului o recompensă de 1,500 ETH sau 1.8 milioane de dolari. Jumătate din fondurile furate. Atacatorul a avut nevoie doar să returneze cealaltă jumătate și au ajuns să păstreze banii și să nu sufere consecințe legale.
Echipa din spatele platformei a confirmat că hackerul a fost de acord cu termenii. Jumătate din fondurile furate au fost returnate la piscină. Platforma de creditare Ethereum susține că „agențiile de securitate au determinat provizoriu locația geografică a hackerului”.
Această declarație pare să sugereze posibile consecințe legale pentru atacator, dar echipa din spatele acestui proiect nu a furnizat încă mai multe informații.
7/8 Fonduri returnatehttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) 27 Iunie, 2022
Nu este prima dată când un hacker acceptă să returneze o parte sau întreaga sumă din fondurile furate. Unii hackeri atacă platformele de finanțare descentralizată (DeFi) și adesea țin ostatici banii până când primesc plata pentru ceea ce ei considerau a fi un „serviciu”. Alte proiecte sunt mai puțin norocoase și plătesc prețul final.
Citire asemănătoare Harmony dă o recompensă de 1 milion de dolari pentru returnarea fondurilor furate de 100 de milioane de dolari - Este suficient?
La momentul scrierii, Ethereum (ETH) se tranzacționează la 1,180 USD, cu o pierdere de 3% în ultimele 24 de ore.
Sursa: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/