Платформа кредитування Ethereum XCarnival підтверджений поганий актор вкрав 3.8 мільйона доларів або 3,087 ETH. Згідно зі звітом фірми безпеки мережі Peck Shield, хакер скористався вразливістю смарт-контракту протоколу, запозичивши ETH і створивши «кілька замовлень на заставу для BAYC (Bored Ape Yacht Club NFT) багато разів».
Пов'язане читання | Морган-Крік хоче отримати 250 мільйонів доларів для протидії FTX BlockFi
XCarnival працює як пул кредитування незмінних токенів (NFT). Платформа дає змогу власникам NFT вносити свої активи в обмін на ліквідність. Цей процес включає три смарт-контракти: менеджер NFT, P2Controller для керування обмеженнями кредитування та зберігання коштів, як заявив, іншою охоронною фірмою Go+ Security.
Хакер купив предмет 5110 з популярної колекції Bored Ape Yacht Club NFT на OpenSea. Пізніше він поклав цей актив на XCarnival і здійснив атаку, щоб «використовувати той самий NFT для запозичень».
Іншими словами, зловмисник зміг закласти NFT, позичити ETH, а потім видалити NFT, не повернувши позику. Поганий актор кілька разів завершував цей процес, поки басейн не осушили.
Go+ Security пояснив, що хакер створив головний смарт-контракт і кілька «підлеглих» смарт-контрактів для проведення атаки:
Потім Slave 5338 відкликав NFT і відправив його назад до Master, який потім повторив цей процес з іншими Slave. Таким чином вони створили багато ідентифікаторів замовлень, які пізніше можна використовувати як облікові дані для позики. Але помилковий контракт xNFT не анулював облікові дані після відкликання.
XCarnival's працювати із зазначеною вище вразливістю в смарт-контрактах, які дозволяють атакувати, якщо користувач залишається в межах певного. Go+ Security додав про атаку та вразливість смарт-контракту: «Застава все ще дійсна після вилучення. Це дуже проста й наївна помилка у виконанні контракту».
У світлі успішної атаки протокол NFT на основі Ethereum вирішив запропонувати хакеру угоду.
Платформа Ethereum укладає угоди зі своїм зловмисником
Згідно з його офіційним акаунтом у Twitter, XCarnival запропонував хакеру винагороду в розмірі 1,500 ETH або 1.8 мільйона доларів. Половина вкрадених коштів. Зловмиснику потрібно було лише повернути другу половину, а гроші залишилися без юридичних наслідків.
Команда, яка стоїть за платформою, підтвердила, що хакер погодився з умовами. Половину викрадених коштів повернули в пул. Платформа кредитування Ethereum стверджує, що «агенції безпеки попередньо визначили географічне розташування хакера».
Здається, ця заява натякає на можливі правові наслідки для зловмисника, але команда, яка стоїть за цим проектом, ще не надала більше інформації.
7/8 Кошти повернутоhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Таль Б'єрі (@TalBeerySec) 27 Червня, 2022.
Це не перший випадок, коли хакер погоджується повернути частину або всю суму вкрадених коштів. Деякі хакери атакують платформи децентралізованих фінансів (DeFi) і часто тримають гроші в заручниках, поки не отримають плату за те, що вони вважали «послугою». Іншим проектам щастить менше і вони платять найвищу ціну.
Пов'язане читання | Гармонія висить винагороду в 1 мільйон доларів за повернення вкрадених коштів у розмірі 100 мільйонів доларів – чи достатньо?
На момент написання статті Ethereum (ETH) торгується за 1,180 доларів із втратою 3% за останні 24 години.
Джерело: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/