NFT platforma XCarnival pod napadom: zlonamjernici koriste BAYC token

Po protokolu post mortem, sigurnosne agencije su već "probno utvrdile" lokaciju hakera, a pregovori su u toku.

XCarnival NFT platforma za pozajmljivanje napadnuta je preko neobičnog vektora

Prema izjavi koju je podijelio PeckShield, vodeći provajder sajber sigurnosti za blockchain proizvode, NFT platforma za pozajmljivanje XCarnival je napadnuta.

1/ @XCarnival_Lab je eksploatisan u naletu txs-a (jedan hack tx: https://t.co/LUcxSU9UQn),
što je dovelo do dobitka od 3,087 ETH (~3.8 miliona dolara) za hakera (gubitak protokola može biti veći). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) Juni 26, 2022

Napadači su uspjeli dobiti beskonačan broj kredita koristeći isti NFT visokog profila (Bored Apes Yacht Club #5110). Protokol je bio na meti "navale" transakcija koje su inicirali hakeri.

Zlonamjernici su uspjeli generirati više adresa ugovora, založiti BAYC NFT kao kolateral, dobiti kredit, odmah povući NFT i ponoviti ovu proceduru više puta.

Kao takvi, hakeri su pozajmili preko 3.8 miliona dolara u ekvivalentu Ethereuma (ETH) bez potrebe da vraćaju zajam. Ovo je postalo moguće zbog ranjivosti kodne baze modula za posuđivanje.

Hakeri su počeli vraćati sredstva

Tim je odmah prijavio problem kibernetičkoj sigurnosti i agencijama za provođenje zakona. U početku je hakeru ponuđena nagrada od 300,000 dolara da povrati sredstva, ali je onda suma povećana na 1.8 miliona dolara.

Glavni ugovor, kao i funkcije depozita i zaduživanja su ugašene kako bi se spriječilo da korisnici XCarnivala izgube svoja sredstva.

Kako je napadač praćen, počeli su pregovori. Do vremena za štampu, on/ona je vratio 1,467 Ethers (ETH) ukradenih. Takođe treba napomenuti da su početna sredstva za napad prebačena iz miksera Tornado Cash.

Kao što je U.Today ranije pokrio, hakeri su ranije ovog mjeseca napali protokol za decentralizirano pozajmljivanje/posuđivanje Inverse Finance; gubici su premašili 1.25 miliona dolara u ekvivalentu.