В результаті переговорів хакери вже повернули значну частину активів, витрачених із резерву XCarnival
зміст
Згідно з протоколом посмертний, силовики вже «попередньо визначили» місцезнаходження хакерів, ведуться переговори.
Платформу кредитування XCarnival NFT атакували через незвичайний вектор
Згідно з заявою PeckShield, провідного постачальника кібербезпеки для продуктів блокчейн, платформа кредитування NFT XCarnival зазнала нападу.
1/ @XCarnival_Lab був використаний у шквалі txs (один хак tx: https://t.co/LUcxSU9UQn),
що призведе до виграшу хакера в розмірі 3,087 ETH (~3.8 млн доларів США) (втрата протоколу може бути більшою). pic.twitter.com/mmGw5PQfbt- PeckShield Inc. (@peckshield) 26 Червня, 2022.
Зловмисникам вдалося отримати нескінченну кількість кредитів за допомогою одного і того ж гучного NFT (Bored Apes Yacht Club #5110). Протокол був націлений на «шквал» транзакцій, ініційованих хакерами.
Зловмисникам вдалося створити кілька адрес контрактів, заставити BAYC NFT як заставу, отримати позику, негайно зняти NFT і повторити цю процедуру кілька разів.
Таким чином, хакери позичили понад 3.8 мільйона доларів США в еквіваленті Ethereum (ETH), не потребуючи повертати позику. Це стало можливим завдяки вразливості кодової бази модуля запозичення.
Хакери почали повертати кошти
Команда оперативно повідомила про проблему в органи кібербезпеки та правоохоронні органи. Спочатку хакеру запропонували винагороду в розмірі 300,000 тисяч доларів за повернення коштів, але потім суму збільшили до 1.8 мільйона доларів.
Основний контракт, а також функції депозиту та позики були припинені, щоб користувачі XCarnival не втратили свої кошти.
Оскільки нападника відстежили, почалися переговори. На момент публікації він/вона повернув 1,467 вкрадених ефірів (ETH). Також слід зазначити, що початкові кошти на атаку були перераховані з міксера Tornado Cash.
Як повідомляв U.Today раніше, на початку цього місяця хакери атакували протокол децентралізованого кредитування/запозичень Inverse Finance; збитки перевищили 1.25 мільйона доларів в еквіваленті.
Джерело: https://u.today/nft-platform-xcarnival-under-attack-malefactors-use-bayc-token