Ethereum utlånsplattform XCarnival bekreftet en dårlig skuespiller stjal 3.8 millioner dollar eller 3,087 ETH. I følge en rapport fra det kjedede sikkerhetsfirmaet Peck Shield, utnyttet en hacker en sårbarhet på protokollens smarte kontrakt ved å låne ETH og opprette "flere pantordrer for å pantsette BAYC (Bored Ape Yacht Club NFTs) mange ganger".
Relatert lesing | Morgan Creek sies å være i bud for å sikre $250-M for å motvirke FTX BlockFi Bailout
XCarnival fungerer som en ikke-fungible token (NFT) utlånspool. Plattformen gjør det mulig for NFT-innehavere å sette inn sine eiendeler i bytte mot likviditet. Denne prosessen involverer tre smarte kontrakter: en NFT-sjef, en P2Controller for å administrere utlånsrestriksjoner, og lagring av midler, som uttalte av et annet sikkerhetsfirma Go+ Security.
Hackeren kjøpte gjenstanden 5110 fra den populære Bored Ape Yacht Club NFT-kolleksjonen på OpenSea. Senere deponerte han denne eiendelen på XCarnival og gjennomførte et angrep for å "bruke den samme NFT for å låne".
Med andre ord, angriperen var i stand til å pantsette NFT, lånte ETH, og deretter fjerne NFT uten å betale tilbake lånet. Den dårlige skuespilleren fullførte denne prosessen flere ganger til bassenget ble tømt.
Go+ Security forklarte at hackeren opprettet en Master smart kontrakt og flere "slaver" smarte kontrakter for å utføre angrepet:
Så trakk Slave 5338 NFT og sendte den tilbake til Master, som deretter gjentok denne prosessen med andre Slaver. På denne måten opprettet de mange ordre-IDer, som senere kan brukes som utlånslegitimasjon. Men avlyttet xNFT-kontrakt opphevet ikke legitimasjonen etter å ha trukket seg tilbake.
XCarnival's operert med en sårbarhet på sine smarte kontrakter, nevnt ovenfor, som muliggjør angrep hvis brukeren holder seg innenfor en viss. Go+ Security la til angrepet og sårbarheten for smart kontrakt: «Sikkerhet er fortsatt gyldig etter tilbaketrekking. Dette er en veldig enkel og naiv feil i kontraktimplementering.»
I lys av det vellykkede angrepet bestemte den Ethereum-baserte NFT-utlånsprotokollen seg for å tilby hackeren en avtale.
Ethereum-plattformen gjør avtaler med angriperen sin
I følge sin offisielle Twitter-konto tilbød XCarnival hackeren en dusør på 1,500 ETH eller 1.8 millioner dollar. Halvparten av de stjålne midlene. Angriperen trengte bare å returnere den andre halvparten, og de fikk beholde pengene uten å få noen juridiske konsekvenser.
Teamet bak plattformen bekreftet at hackeren godtok vilkårene. Halvparten av de stjålne midlene ble returnert til bassenget. Ethereum-utlånsplattformen hevder "sikkerhetsbyråer har foreløpig bestemt hackerens geografiske plassering".
Denne uttalelsen ser ut til å antyde mulige juridiske konsekvenser for angriperen, men teamet bak dette prosjektet har ennå ikke gitt mer informasjon.
7/8 Midler returnerthttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juni 27, 2022
Dette er ikke første gang en hacker godtar å returnere en del eller hele beløpet av de stjålne midlene. Noen hackere angriper desentraliserte finansplattformer (DeFi) og holdt ofte pengene som gisler til de mottar betaling for det de anså for å være en "tjeneste". Andre prosjekter er mindre heldige og betaler den ultimate prisen.
Relatert lesing | Harmony dingler $1 million i belønning for retur av $100 millioner stjålne midler – er det nok?
I skrivende stund handles Ethereum (ETH) til $1,180 3 med et tap på 24 % de siste XNUMX timene.
Kilde: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/