Platforma na pôžičky Ethereum XCarnival potvrdené zlý herec ukradol 3.8 milióna dolárov alebo 3,087 XNUMX ETH. Podľa správy od bezpečnostnej firmy Peck Shield na reťazci hacker zneužil zraniteľnosť inteligentného kontraktu protokolu tým, že si požičal ETH a vytvoril „viacnásobné záložné príkazy, aby mnohokrát prisľúbil BAYC (Bored Ape Yacht Club NFTs).
Súvisiace čítanie Morgan Creek povedal, že bude v ponuke, aby zabezpečil 250 miliónov dolárov na boj proti pomoci FTX BlockFi
XCarnival funguje ako fond požičiavania nezameniteľných tokenov (NFT). Platforma umožňuje držiteľom NFT ukladať svoje aktíva výmenou za likviditu. Tento proces zahŕňa tri inteligentné zmluvy: manažér NFT, P2Controller na správu obmedzení poskytovania úverov a skladovanie fondov, ako uvedený od inej bezpečnostnej firmy Go+ Security.
Hacker kúpil položku 5110 z populárnej kolekcie Bored Ape Yacht Club NFT na OpenSea. Neskôr uložil toto aktívum na XCarnival a vykonal útok, aby „použil rovnaké NFT na pôžičky“.
Inými slovami, útočník bol schopný založiť NFT, požičať si ETH a potom odstrániť NFT bez splatenia pôžičky. Zlý herec tento proces absolvoval niekoľkokrát, kým sa bazén nevypustil.
Go+ Security vysvetlil, že hacker vytvoril hlavnú inteligentnú zmluvu a niekoľko „otrockých“ inteligentných zmlúv na vykonanie útoku:
Potom Slave 5338 stiahol NFT a poslal ho späť Majstrovi, ktorý potom zopakoval tento proces s ostatnými Slavemi. Týmto spôsobom vytvorili mnoho orderID, ktoré možno neskôr použiť ako poverenia na požičiavanie. Chybná zmluva xNFT však nezrušila poverenie po stiahnutí.
XCarneval's ovládané so zraniteľnosťou na svojich smart kontraktoch, spomenutých vyššie, ktoré umožňujú útok, ak používateľ zostane v určitom rozsahu. Go+ Security k útoku a zraniteľnosti inteligentnej zmluvy dodal: „Záruka je po stiahnutí stále platná. Toto je veľmi jednoduchá a naivná chyba pri implementácii zmluvy.“
Vo svetle úspešného útoku sa protokol požičiavania NFT založený na Ethereu rozhodol ponúknuť hackerovi dohodu.
Platforma Ethereum uzavrela dohodu so svojím útočníkom
Podľa svojho oficiálneho účtu na Twitteri XCarnival ponúkol hackerovi odmenu 1,500 1.8 ETH alebo XNUMX milióna dolárov. Polovica ukradnutých prostriedkov. Útočníkovi stačilo vrátiť druhú polovicu a peniaze si ponechali a neniesli žiadne právne následky.
Tím stojaci za platformou potvrdil, že hacker súhlasil s podmienkami. Polovica ukradnutých prostriedkov sa vrátila do bazéna. Pôžičková platforma Ethereum tvrdí, že „bezpečnostné agentúry predbežne určili geografickú polohu hackera“.
Zdá sa, že toto vyhlásenie naznačuje možné právne dôsledky pre útočníka, ale tím, ktorý stojí za týmto projektom, zatiaľ neposkytol viac informácií.
7/8 Finančné prostriedky vrátenéhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Júna 27, 2022
Nie je to prvýkrát, čo hacker súhlasí s vrátením časti alebo celej sumy ukradnutých prostriedkov. Niektorí hackeri útočia na platformy decentralizovaných financií (DeFi) a často držia peniaze ako rukojemníkov, kým nedostanú platbu za to, čo považovali za „službu“. Iné projekty majú menej šťastia a platia najvyššiu cenu.
Súvisiace čítanie Harmony visí odmena vo výške 1 milióna dolárov za vrátenie ukradnutých prostriedkov vo výške 100 miliónov dolárov – stačí to?
V čase písania tohto článku sa Ethereum (ETH) obchoduje za 1,180 3 USD so stratou 24 % za posledných XNUMX hodín.
Zdroj: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/