“Metaverse Asset Bank”, Carnival, який зазнав використання смарт-контракту в шквал угод і привів до виграшу близько 3,000 ETH хакером, знайшов рішення, яке зменшило пошкодження платформи і зробило хакера кращим, за PeckShield Inc.
Як відбувся хак?
Помилка в коді платформи дозволила хакерам вийти зобов'язалися NFT і використовувати їх як заставу. Пізніше цей механізм був використаний для зливу активів з пулу. Основною проблемою була відсутність у договорі судового рішення, яке не перевіряло, чи була заставлена NFT відкликана позичальником.
Як завжди, хакер отримав свої кошти від рішення для змішування монет Tornado Cash, що дозволило йому залишитися повністю анонімним. Потенційно експлуататор міг легко відмити вкрадені кошти і залишитися під радаром, а потім якось перевести їх у фіат.
Гарний кінець
На щастя для користувачів платформи та керівної команди, хакер погодився повернути половину вкрадених коштів лише за однієї умови: якщо вся історія з експлойтом буде вважатися «нагородою за помилки», він уникне всіх майбутніх судових позовів.
Здається, що залишилися 1467 ETH щойно повернуто. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) 27 Червня, 2022.
Він попросив генерального директора Carnival надати власнику адреси, яка закінчується на «B800a», винагороду в розмірі 1,500 ETH в обмін на вкрадені кошти. По суті, платформа заплатила хакеру винагороду за помилок у розмірі 1.8 мільйона доларів, що вважається більшим, ніж щедрий.
З початку року кількість експлойтів і зломів різних платформ DeFi і колекцій NFT значно зменшилася, швидше за все, через падіння популярності обох галузей і крах ринку криптовалют у травні-червні.
Джерело: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how