Platforma za posojila Ethereum XCarnival potrjena slab igralec je ukradel 3.8 milijona dolarjev ali 3,087 ETH. Glede na poročilo varnostnega podjetja Peck Shield v verigi je heker izkoristil ranljivost pametne pogodbe protokola tako, da si je izposodil ETH in ustvaril "več zastavnih naročil, da bi večkrat zastavil BAYC (Bored Ape Yacht Club NFT)".
Sorodno branje | Morgan Creek naj bi si prizadeval zagotoviti 250 milijonov dolarjev za preprečevanje reševanja FTX BlockFi
XCarnival deluje kot združenje za posojanje nezamenljivih žetonov (NFT). Platforma omogoča imetnikom NFT, da položijo svoja sredstva v zameno za likvidnost. Ta postopek vključuje tri pametne pogodbe: upravitelja NFT, P2Controller za upravljanje omejitev posojanja in shranjevanje sredstev, kot npr. navedla drugega varnostnega podjetja Go+ Security.
Heker je kupil predmet 5110 iz priljubljene zbirke Bored Ape Yacht Club NFT na OpenSea. Kasneje je to premoženje položil na XCarnival in izvedel napad, da bi "uporabil isti NFT za izposojanje".
Z drugimi besedami, napadalec je lahko zastavil NFT, si izposodil ETH in nato odstranil NFT, ne da bi vrnil posojilo. Slab igralec je ta postopek večkrat opravil, dokler bazen ni bil izsušen.
Go+ Security je pojasnil, da je heker ustvaril glavno pametno pogodbo in več "podrejenih" pametnih pogodb za izvedbo napada:
Nato je Slave 5338 umaknil NFT in ga poslal nazaj Masterju, ki je nato ta postopek ponovil z drugimi Podrejenimi. Na ta način so ustvarili številne ID-je naročil, ki jih je mogoče kasneje uporabiti kot poverilnice za izposojo. Toda napačna pogodba xNFT po umiku ni preklicala poverilnice.
XCarnival's upravlja z zgoraj omenjeno ranljivostjo svojih pametnih pogodb, ki omogočajo napad, če uporabnik ostane znotraj določenega. Go+ Security je dodal napad in ranljivost pametne pogodbe: »Zavarovanje je še vedno veljavno po umiku. To je zelo preprosta in naivna napaka pri izvajanju pogodbe."
Glede na uspešen napad se je protokol NFT, ki temelji na Ethereumu, odločil, da hekerju ponudi posel.
Platforma Ethereum sklepa posle s svojim napadalcem
Glede na njegov uradni Twitter račun je XCarnival hekerju ponudil nagrado v višini 1,500 ETH ali 1.8 milijona dolarjev. Polovica ukradenih sredstev. Napadalec je moral vrniti le drugo polovico, denar pa sta morala obdržati in ne utrpela nobenih pravnih posledic.
Ekipa, ki stoji za platformo, je potrdila, da se heker strinja s pogoji. Polovico ukradenih sredstev so vrnili v bazen. Platforma za posojila Ethereum trdi, da so "varnostne agencije začasno določile hekerjevo geografsko lokacijo".
Zdi se, da ta izjava namiguje na možne pravne posledice za napadalca, vendar ekipa, ki stoji za tem projektom, še ni zagotovila več informacij.
7/8 Vrnjenih sredstevhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Junij 27, 2022
To ni prvič, da se heker strinja z vrnitvijo dela ali celotnega zneska ukradenih sredstev. Nekateri hekerji napadajo decentralizirane finančne platforme (DeFi) in so denar pogosto držali za talca, dokler ne prejmejo plačila za tisto, kar so menili, da je »storitev«. Drugi projekti imajo manj sreče in plačajo končno ceno.
Sorodno branje | Harmony Dangles dobi 1 milijon dolarjev nagrade za vračilo ukradenih sredstev v višini 100 milijonov dolarjev – ali je dovolj?
V času pisanja se Ethereum (ETH) trguje pri 1,180 $ s 3-odstotno izgubo v zadnjih 24 urah.
Vir: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/