Ethereum platforma za kreditiranje XCarnival potvrđen loš glumac ukrao je 3.8 milijuna dolara ili 3,087 ETH. Prema izvješću sigurnosne tvrtke Peck Shield na lancu, haker je iskoristio ranjivost na pametnom ugovoru protokola posudivši ETH i kreirajući "višestruke založne naloge za zalaganje BAYC-a (Bored Ape Yacht Club NFT) mnogo puta".
Povezano čitanje | Morgan Creek je rekao da je u ponudi da osigura $250-M za suprotstavljanje FTX BlockFi spašavanju
XCarnival djeluje kao nemjenjivi token (NFT) pozajmljivanje. Platforma omogućuje vlasnicima NFT-a da polažu svoju imovinu u zamjenu za likvidnost. Ovaj proces uključuje tri pametna ugovora: NFT upravitelja, P2Controller za upravljanje ograničenjima zajmova i pohranu sredstava, kao navedeno od strane druge zaštitarske tvrtke Go+ Security.
Haker je kupio predmet 5110 iz popularne kolekcije Bored Ape Yacht Club NFT na OpenSea. Kasnije je položio ovu imovinu na XCarnival i izveo napad kako bi "iskoristio isti NFT za posuđivanje".
Drugim riječima, napadač je mogao založiti NFT, posuditi ETH, a zatim ukloniti NFT bez vraćanja zajma. Loši glumac je ovaj proces dovršio nekoliko puta dok bazen nije isušen.
Go+ Security je objasnio da je haker stvorio Master pametni ugovor i nekoliko "robih" pametnih ugovora za provedbu napada:
Tada je Slave 5338 povukao NFT i poslao ga natrag Masteru, koji je zatim ponovio ovaj proces s drugim Slaveovima. Na taj su način stvorili mnoge ID-ove naloga, koji se kasnije mogu koristiti kao vjerodajnice za posudbu. Ali oštećeni xNFT ugovor nije opozvao vjerodajnicu nakon povlačenja.
XCarnival's operiran s gore spomenutom ranjivosti na svojim pametnim ugovorima koji omogućuju napad ako korisnik ostane unutar određenog. Go+ Security je dodao o napadu i ranjivosti pametnog ugovora: “Kolateral je i dalje valjan nakon povlačenja. Ovo je vrlo jednostavan i naivan bug u provedbi ugovora.”
U svjetlu uspješnog napada, NFT protokol za pozajmljivanje baziran na Ethereumu odlučio je hakeru ponuditi dogovor.
Ethereum platforma sklapa poslove sa svojim napadačem
Prema svom službenom Twitter računu, XCarnival je hakeru ponudio nagradu od 1,500 ETH ili 1.8 milijuna dolara. Pola ukradenih sredstava. Napadač je trebao vratiti samo drugu polovicu, a novac su morali zadržati i snositi nikakve pravne posljedice.
Tim iza platforme potvrdio je da je haker pristao na uvjete. Polovica ukradenih sredstava vraćena je u bazen. Platforma za posudbu Ethereum tvrdi da su "sigurnosne agencije probno odredile geografsku lokaciju hakera".
Čini se da ova izjava nagovještava moguće pravne posljedice za napadača, no tim koji stoji iza ovog projekta tek treba dati više informacija.
7/8 Sredstva vraćenahttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Lipnja 27, 2022
Ovo nije prvi put da haker pristaje vratiti dio ili puni iznos ukradenih sredstava. Neki hakeri napadaju decentralizirane financijske (DeFi) platforme i često drže novac kao taoce dok ne dobiju plaćanje za ono što su smatrali "uslugom". Drugi projekti su manje sretni i plaćaju konačnu cijenu.
Povezano čitanje | Harmony visi nagradu od milijun dolara za povrat ukradenih sredstava od 1 milijuna dolara – je li dovoljno?
U trenutku pisanja, Ethereum (ETH) se trguje po cijeni od 1,180 USD uz gubitak od 3% u posljednja 24 sata.
Izvor: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/