Платформа NFT XCarnival під атакою: зловмисники використовують токен BAYC

зміст

• Платформу кредитування XCarnival NFT атакували через незвичайний вектор
• Хакери почали повертати кошти

Згідно з протоколом посмертний, силовики вже «попередньо визначили» місцезнаходження хакерів, ведуться переговори.

Платформу кредитування XCarnival NFT атакували через незвичайний вектор

Згідно з заявою PeckShield, провідного постачальника кібербезпеки для продуктів блокчейн, платформа кредитування NFT XCarnival зазнала нападу.

1/ @XCarnival_Lab був використаний у шквалі txs (один хак tx: https://t.co/LUcxSU9UQn),
що призведе до виграшу хакера в розмірі 3,087 ETH (~3.8 млн доларів США) (втрата протоколу може бути більшою). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) 26 Червня, 2022.

Зловмисникам вдалося отримати нескінченну кількість кредитів за допомогою одного і того ж гучного NFT (Bored Apes Yacht Club #5110). Протокол був націлений на «шквал» транзакцій, ініційованих хакерами.

Зловмисникам вдалося створити кілька адрес контрактів, заставити BAYC NFT як заставу, отримати позику, негайно зняти NFT і повторити цю процедуру кілька разів.

Таким чином, хакери позичили понад 3.8 мільйона доларів США в еквіваленті Ethereum (ETH), не потребуючи повертати позику. Це стало можливим завдяки вразливості кодової бази модуля запозичення.

Хакери почали повертати кошти

Команда оперативно повідомила про проблему в органи кібербезпеки та правоохоронні органи. Спочатку хакеру запропонували винагороду в розмірі 300,000 тисяч доларів за повернення коштів, але потім суму збільшили до 1.8 мільйона доларів.

Основний контракт, а також функції депозиту та позики були припинені, щоб користувачі XCarnival не втратили свої кошти.

Оскільки нападника відстежили, почалися переговори. На момент публікації він/вона повернув 1,467 вкрадених ефірів (ETH). Також слід зазначити, що початкові кошти на атаку були перераховані з міксера Tornado Cash.

Як повідомляв U.Today раніше, на початку цього місяця хакери атакували протокол децентралізованого кредитування/запозичень Inverse Finance; збитки перевищили 1.25 мільйона доларів в еквіваленті.