XCarnival, постачальник ліквідності для екосистеми Ethereum, повернув 1,467 Ether (ETH) лише через день після того, як зазнала експлойту, який зняв з протоколу 3,087 ETH на суму приблизно 3.8 мільйона доларів.
Дослідник блокчейну Пекшилд помітив хак XCarnival, коли він наткнувся на потік транзакцій, які в кінцевому підсумку знищили 3,087 ETH з протоколу. Пояснюючи природу експлойту, Пекшилд заявив:
«Злам став можливим завдяки тому, що вилучений заклад NFT все ще може використовуватися як застава, яка потім використовується хакером для вилучення активів з пулу».
Незабаром після розкриття XCarnival проактивно поінформував користувачів про злом, тимчасово призупинивши частину своїх сервісів, щоб протистояти дратівливій атаці. Протокол також пропонував хакеру 1,500 ETH як винагороду на додаток до пропозиції звільнення від судового розгляду.
XCarnival був атакований 26 червня 2022 року і призупинив дію частини протоколу. Офіційні особи XCarnival нададуть власнику 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a винагороду в розмірі 1500 ETH.
У той же час посадові особи XCarnival чітко звільняють особу від судового позову.Команда XCarnival
— XCarnival (@XCarnival_Lab) 27 Червня, 2022.
Зрештою, XCarnival призупинив дію смарт-контрактів, депозитів і позик, поки не зміг ідентифікувати та виправити внутрішню помилку, яка зробила злом можливим. Як повідомляє Packshield, хакер використав раніше вилучену заставу неперевершений маркер (NFT) з колекції яхт-клубу Bored Ape (BAYC) як заставу для вичерпання активів.
У той час як гаманець хакера XCarnival показав наявність 3,087 ETH після злому, решта коштів, схоже, була успішно викачана — на момент написання статті гаманець показував 0 ETH.
XCarnival оголосив про плани розкрити подробиці ситуації в найближчий час.
Те, що могло бути історією року, виявилося розчаруванням після спроб хакера з білого капелюха відновити заблокований телефон, повний біткойнів (БТД) призвело до відкриття всього 0.00300861 BTC.
Як повідомляв Cointelegraph, Джо Гранд, комп’ютерний інженер і хакер апаратного забезпечення, подорожував з Портленда до Сіетла, щоб потенційно відновити BTC з телефону Samsung Galaxy SIII, що належить Лавару, місцевому автобусному оператору.
Ретельні зусилля, які включали мікропайку, завантаження пам’яті та виявлення шаблону свайпа Samsung для доступу, Лавар відкрив свій біткойн-гаманець MyCelium і виявив лише 0.00300861 BTC — на той час коштував 105 доларів, а на момент публікації приблизно 63 доларів.
Джерело: https://cointelegraph.com/news/ethereum-liquidity-provider-xcarnival-negotiates-return-of-50-stolen-eth