Платформа за заеми на Ethereum XCarnival потврди лош актер украл 3.8 милиони долари или 3,087 ЕТХ. Според извештајот од фирмата за безбедност на синџирот Peck Shield, хакер ја искористил ранливоста на паметниот договор на протоколот позајмувајќи го ETH и создал „повеќекратни налози за залог за да се заложат BAYC (Bored Ape Yacht Club NFTs) многу пати“.
Поврзано читање | Морган Крик рече дека е во обид да обезбеди 250-милиони долари за да се спротивстави на финансиската помош за FTX BlockFi
XCarnival работи како базен за заеми што не се заменливи (NFT). Платформата им овозможува на имателите на NFT да ги депонираат своите средства во замена за ликвидност. Овој процес вклучува три паметни договори: NFT менаџер, P2Controller за управување со ограничувањата за заеми и складирање средства, како изјави од друга безбедносна фирма Go+ Security.
Хакерот го купил предметот 5110 од популарната колекција Bored Ape Yacht Club NFT на OpenSea. Подоцна, тој го депонираше ова средство на XCarnival и изврши напад за „да го искористи истиот NFT за задолжување“.
Со други зборови, напаѓачот можел да го заложи NFT, го позајмил ETH и потоа да го отстрани NFT без да го врати заемот. Лошиот актер го заврши овој процес неколку пати додека базенот не се исцеди.
Go+ Security објасни дека хакерот создал Master паметен договор и неколку паметни договори „робови“ за да го изврши нападот:
Потоа Slave 5338 го повлече NFT и го испрати назад до Master, кој потоа го повтори овој процес со другите Slaves. На овој начин тие создадоа многу нарачки ID, кои подоцна може да се користат како акредитиви за позајмување. Но, оштетениот xNFT договор не ја отповика акредитацијата по повлекувањето.
X карневалот опериран со ранливост на неговите паметни договори, споменати погоре, кои овозможуваат напад доколку корисникот остане во одредено ниво. Go+ Security додаде за нападот и ранливоста на паметниот договор: „Колатералот сè уште важи по повлекувањето. Ова е многу едноставна и наивна грешка во спроведувањето на договорот“.
Во светлината на успешниот напад, протоколот за заеми NFT базиран на Ethereum одлучи да му понуди на хакерот договор.
Платформата Ethereum склучува договори со својот напаѓач
Според неговиот официјален профил на Твитер, XCarnival му понудил на хакерот награда од 1,500 ETH или 1.8 милиони долари. Половина од украдените средства. Напаѓачот требаше само да ја врати другата половина и тие мораа да ги задржат парите и да трпат никакви правни последици.
Тимот зад платформата потврди дека хакерот се согласил со условите. Половина од украдените средства се вратени во базенот. Платформата за заеми Ethereum тврди дека „агенциите за безбедност привремено ја одредиле географската локација на хакерот“.
Се чини дека оваа изјава навестува можни правни последици за напаѓачот, но тимот кој стои зад овој проект допрва треба да даде повеќе информации.
7/8 Вратени средстваhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Тал Беери (@TalBeerySec) Јуни 27, 2022
Ова не е прв пат хакер да се согласи да врати дел или целосен износ од украдените средства. Некои хакери ги напаѓаат платформите за децентрализирани финансии (DeFi) и честопати ги држат парите во заложништво додека не добијат плаќање за она што тие го сметаа за „услуга“. Другите проекти имаат помалку среќа и ја плаќаат крајната цена.
Поврзано читање | Хармонија виси награда од 1 милион долари за враќање на украдени средства од 100 милиони долари - дали е доволно?
Во моментот на пишување, Ethereum (ETH) се тргува по 1,180 долари со загуба од 3% во последните 24 часа.
Извор: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/