Ponudnik likvidnosti Ethereum XCarnival se pogaja o vračilu 50 % ukradenega ETH

XCarnival, ponudnik likvidnosti za ekosistem Ethereum, je pridobil 1,467 Ether (ETH) le dan po tem, ko je utrpel izkoriščanje, ki je iz protokola odvzelo 3,087 ETH, vrednih približno 3.8 milijona dolarjev.

Raziskovalec Blockchain Peckshield opazili hek XCarnival, ko je naletel na tok transakcij, ki so na koncu iz protokola izkrvavil 3,087 ETH. Ko pojasnjuje naravo izkoriščanja, je Peckshield izjavil:

"Vdor je omogočen tako, da se umaknjeni zastavljeni NFT še vedno uporablja kot zavarovanje, ki ga heker nato izkoristi za črpanje sredstev iz skupine."

Kmalu po razkritju je XCarnival proaktivno obvestil uporabnike o vdoru, medtem ko je del svojih storitev začasno ustavil, da bi preprečil nadležen napad. Protokol je hekerju ponudil tudi 1,500 ETH kot nagrado poleg ponudbe izvzetja iz sodnih postopkov.

XCarnival je bil napaden 26. junija 2022 in začasno ukinil del protokola. Uradniki XCarnivala bodo lastniku 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a podelili 1500 ETH nagrade.
Hkrati uradniki XCarnivala osebo izrecno izvzamejo iz sodnega postopka.
Avtor ekipe XCarnival
— XCarnival (@XCarnival_Lab) Junij 27, 2022

Sčasoma je XCarnival začasno prekinil pametne pogodbe ter funkcije depozitov in izposojanja, dokler ni mogel prepoznati in odpraviti notranje napake, ki je omogočila vdor. Po Packshieldu je heker uporabil predhodno umaknjeno obljubo neopredeljivi žeton (NFT) iz zbirke Bored Ape Yacht Club (BAYC) kot zavarovanje za črpanje sredstev.

Diagram poteka, ki prikazuje prenos ukradenih sredstev XCarnival. Vir: Peckshield

Medtem ko je denarnica hekerja XCarnival po vdoru pokazala prisotnost 3,087 ETH, se zdi, da so preostala sredstva uspešno črpana – pri čemer je denarnica v času pisanja pokazala 0 ETH.

Stanje v denarnici ETH hekerja XCarnival. Vir: etherscan.io

XCarnival je napovedal načrte za razkritje podrobnosti o situaciji v prihodnosti.

Povezano: White hat heker poskuša povrniti "milijone" izgubljenih bitcoinov, najde le 105 dolarjev

Kar bi lahko bila zgodba leta, se je izkazalo za razočaranje po prizadevanjih hekerja z belimi klobuki, da bi pridobil zaklenjen telefon, poln Bitcoin (BTC) je povzročilo odkritje le 0.00300861 BTC.

Kot je poročal Cointelegraph, je Joe Grand, računalniški inženir in heker strojne opreme, odpotoval iz Portlanda v Seattle, da bi lahko povrnil BTC iz telefona Samsung Galaxy SIII v lasti Lavarja, lokalnega avtobusnega prevoznika.

Lavar je z natančnimi prizadevanji, ki so vključevali mikro spajkanje, prenos pomnilnika in odkrivanje Samsungovega vzorca potezanja za dostop, odprl svojo denarnico MyCelium Bitcoin in odkril le 0.00300861 BTC – v tistem času vredno 105 $, v času objave pa je znašal približno 63 $.