Ethereum platforma za kreditiranje XCarnival potvrđeno loš glumac ukrao je 3.8 miliona dolara ili 3,087 ETH. Prema izvještaju kompanije za sigurnost na lancu Peck Shield, haker je iskoristio ranjivost na pametnom ugovoru protokola tako što je pozajmio ETH i kreirao „višestruke naloge za zalog da bi založio BAYC (Bored Ape Yacht Club NFT) mnogo puta“.
Srodno čitanje | Morgan Creek je rekao da je u ponudi da osigura $250-M za suprotstavljanje FTX BlockFi spašavanju
XCarnival radi kao fond za pozajmljivanje nezamjenjivih tokena (NFT). Platforma omogućava vlasnicima NFT-a da deponuju svoja sredstva u zamjenu za likvidnost. Ovaj proces uključuje tri pametna ugovora: NFT menadžer, P2Controller za upravljanje ograničenjima pozajmljivanja i skladištenje sredstava, kao navedeno od strane druge sigurnosne firme Go+ Security.
Haker je kupio predmet 5110 iz popularne kolekcije Bored Ape Yacht Club NFT na OpenSea. Kasnije je deponovao ovu imovinu na XCarnival i izveo napad kako bi „iskoristio isti NFT za pozajmljivanje“.
Drugim riječima, napadač je mogao založiti NFT, pozajmiti ETH, a zatim ukloniti NFT bez vraćanja kredita. Loši glumac je ovaj proces dovršio nekoliko puta dok bazen nije isušen.
Go+ Security je objasnio da je haker kreirao Master pametni ugovor i nekoliko "robih" pametnih ugovora za izvođenje napada:
Zatim je Slave 5338 povukao NFT i poslao ga nazad Masteru, koji je zatim ponovio ovaj proces sa drugim Slaveovima. Na taj način su kreirali mnoge ID-ove naloga, koji se kasnije mogu koristiti kao vjerodajnice za pozajmljivanje. Ali oštećeni xNFT ugovor nije opozvao vjerodajnicu nakon povlačenja.
XCarnival's operirali sa ranjivošću na svojim pametnim ugovorima, gore pomenutim, koji omogućavaju napad ako korisnik ostane unutar određenog. Go+ Security je dodao na napad i ranjivost pametnog ugovora: „Kolateral je i dalje važeći nakon povlačenja. Ovo je vrlo jednostavna i naivna greška u implementaciji ugovora.”
U svjetlu uspješnog napada, NFT protokol za pozajmljivanje baziran na Ethereumu odlučio je da ponudi hakeru dogovor.
Ethereum platforma sklapa poslove sa svojim napadačem
Prema zvaničnom Twitter nalogu, XCarnival je hakeru ponudio nagradu od 1,500 ETH ili 1.8 miliona dolara. Pola ukradenih sredstava. Napadaču je trebalo samo da vrati drugu polovinu, a oni su morali zadržati novac i snositi nikakve pravne posljedice.
Tim koji stoji iza platforme potvrdio je da je haker pristao na uslove. Polovina ukradenih sredstava vraćena je u bazen. Ethereum platforma za pozajmljivanje tvrdi da su "sigurnosne agencije provizorno odredile geografsku lokaciju hakera".
Čini se da ova izjava nagoveštava moguće pravne posljedice za napadača, ali tim koji stoji iza ovog projekta tek treba dati više informacija.
7/8 Sredstva vraćenahttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juni 27, 2022
Ovo nije prvi put da haker pristaje da vrati dio ili puni iznos ukradenih sredstava. Neki hakeri napadaju decentralizovane finansijske (DeFi) platforme i često drže novac kao taoce dok ne dobiju plaćanje za ono što su smatrali „uslugom“. Drugi projekti su manje sretni i plaćaju krajnju cijenu.
Srodno čitanje | Harmony visi nagradu od milion dolara za vraćanje ukradenih sredstava od 1 miliona dolara – da li je to dovoljno?
U vrijeme pisanja ovog teksta, Ethereum (ETH) se trguje po cijeni od 1,180 dolara uz gubitak od 3% u posljednja 24 sata.
Izvor: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/