Ethereum utlåningsplattform XCarnival bekräftade en dålig skådespelare stal 3.8 miljoner dollar eller 3,087 XNUMX ETH. Enligt en rapport från kedjans säkerhetsföretag Peck Shield, utnyttjade en hackare en sårbarhet i protokollets smarta kontrakt genom att låna ETH och skapa "flera pantorder för att pantsätta BAYC (Bored Ape Yacht Club NFTs) många gånger".
Relaterad läsning | Morgan Creek sägs vara i bud för att säkra $250-M för att motverka FTX BlockFi Bailout
XCarnival fungerar som en icke-fungibel token (NFT) utlåningspool. Plattformen gör det möjligt för NFT-innehavare att sätta in sina tillgångar i utbyte mot likviditet. Denna process involverar tre smarta kontrakt: en NFT-chef, en P2Controller för att hantera utlåningsrestriktioner och lagring av pengar, som anges av ett annat säkerhetsföretag Go+ Security.
Hackaren köpte föremål 5110 från den populära Bored Ape Yacht Club NFT-kollektionen på OpenSea. Senare deponerade han denna tillgång på XCarnival och genomförde en attack för att "använda samma NFT för att låna".
Med andra ord kunde angriparen pantsätta NFT, lånade ETH och sedan ta bort NFT utan att betala tillbaka lånet. Den dåliga skådespelaren genomförde denna process flera gånger tills poolen tömdes.
Go+ Security förklarade att hackaren skapade ett smart masterkontrakt och flera "slavar" smarta kontrakt för att genomföra attacken:
Sedan drog Slave 5338 tillbaka NFT och skickade tillbaka den till Master, som sedan upprepade denna process med andra Slavar. På så sätt skapade de många orderID:n, som senare kan användas som utlåningsuppgifter. Men avlusat xNFT-kontrakt återkallade inte legitimationen efter att ha dragit sig tillbaka.
XCarnival's drivs med en sårbarhet på sina smarta kontrakt, som nämnts ovan, som möjliggör attacken om användaren håller sig inom en viss. Go+ Security lade till på attacken och sårbarheten för smarta kontrakt: "Säkerhet är fortfarande giltigt efter återkallande. Det här är en väldigt enkel och naiv bugg i kontraktsimplementering.”
I ljuset av den framgångsrika attacken beslutade det Ethereum-baserade NFT-utlåningsprotokollet att erbjuda hackaren en affär.
Ethereum-plattformen gör affärer med sin angripare
Enligt sitt officiella Twitter-konto erbjöd XCarnival hackern en premie på 1,500 1.8 ETH eller XNUMX miljoner dollar. Hälften av de stulna medlen. Angriparen behövde bara lämna tillbaka den andra halvan och de fick behålla pengarna och drabbas inte av några juridiska konsekvenser.
Teamet bakom plattformen bekräftade att hackaren gick med på villkoren. Hälften av de stulna medlen återfördes till poolen. Ethereums utlåningsplattform hävdar att "säkerhetsbyråer preliminärt har bestämt hackarens geografiska plats".
Detta uttalande verkar antyda möjliga juridiska konsekvenser för angriparen, men teamet bakom detta projekt har ännu inte lämnat mer information.
7/8 Medel tillbakahttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juni 27, 2022
Det här är inte första gången en hackare går med på att lämna tillbaka en del eller hela beloppet av de stulna medlen. Vissa hackare attackerar decentraliserade finansplattformar (DeFi) och höll ofta pengarna som gisslan tills de får betalt för vad de ansåg vara en "tjänst". Andra projekt har mindre tur och betalar det ultimata priset.
Relaterad läsning | Harmony dinglar 1 miljon dollar i belöning för avkastning på 100 miljoner dollar stulna pengar – räcker det?
I skrivande stund handlas Ethereum (ETH) till $1,180 3 med en förlust på 24% under de senaste XNUMX timmarna.
Källa: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/