Ethereumi laenuplatvorm XCarnival kinnitatud halb näitleja varastas 3.8 miljonit dollarit ehk 3,087 ETH. Ketisisese turvafirma Peck Shield aruande kohaselt kasutas häkker ära protokolli nutika lepingu haavatavust, laenates ETH-d ja koostades "mitu pandikorraldust BAYC (Bored Ape Yacht Club NFT-de) pantimiseks mitu korda".
Seotud lugemine | Morgan Creek teatas, et soovib saada 250 miljonit dollarit FTX BlockFi päästmiseks
XCarnival tegutseb mitteasendatava märgi (NFT) laenufondina. Platvorm võimaldab NFT omanikel likviidsuse eest oma vara hoiustada. See protsess hõlmab kolme nutikat lepingut: NFT haldur, P2Controller laenupiirangute haldamiseks ja vahendite salvestamine, nagu väljendatud teise turvafirma Go+ Security poolt.
Häkker ostis OpenSea populaarsest Bored Ape Yacht Club NFT kollektsioonist kauba 5110. Hiljem deponeeris ta selle vara XCarnivalile ja korraldas rünnaku, et "kasutada laenamiseks sama NFT-d".
Teisisõnu suutis ründaja pantida NFT, laenata ETH ja seejärel eemaldada NFT ilma laenu tagasi maksmata. Halb näitleja viis seda protsessi mitu korda läbi, kuni bassein tühjendati.
Go+ Security selgitas, et häkker lõi rünnaku läbiviimiseks nutilepingu Master-lepingu ja mitu "orjade" nutilepingut:
Seejärel võttis Slave 5338 NFT tagasi ja saatis selle tagasi Masterile, kes seejärel kordas seda protsessi teiste orjadega. Sel viisil lõid nad palju tellimuse ID-sid, mida saab hiljem kasutada laenuvolitustena. Kuid vigane xNFT-leping ei tühistanud pärast taganemist mandaati.
XCarnival tegutses ülalmainitud nutilepingute haavatavusega, mis võimaldavad rünnata, kui kasutaja jääb teatud piiridesse. Go+ Security lisas ründe ja nutika lepingu haavatavusele: "Tagatis kehtib ka pärast taganemist. See on väga lihtne ja naiivne viga lepingu rakendamisel.
Eduka rünnaku valguses otsustas Ethereumil põhinev NFT laenuprotokoll häkkerile tehingut pakkuda.
Platvorm Ethereum teeb oma ründajaga kokkuleppeid
Ametliku Twitteri konto kohaselt pakkus XCarnival häkkerile 1,500 ETH ehk 1.8 miljoni dollari suurust preemiat. Pool varastatud vahenditest. Ründajal oli vaja tagastada vaid teine pool ja raha jäi neile endale jätta ning neil ei ole mingeid õiguslikke tagajärgi.
Platvormi taga olev meeskond kinnitas, et häkker nõustus tingimustega. Pool varastatud raha tagastati basseini. Ethereumi laenuplatvorm väidab, et "turvaagentuurid on häkkeri geograafilise asukoha esialgselt kindlaks määranud".
See avaldus näib vihjavat võimalikele õiguslikele tagajärgedele ründaja jaoks, kuid selle projekti taga olev meeskond ei pea veel lisateavet andma.
7/8 Raha tagastatudhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juuni 27, 2022
See pole esimene kord, kui häkker nõustub tagastama osa või kogu varastatud rahasumma. Mõned häkkerid ründavad detsentraliseeritud rahastamise (DeFi) platvorme ja hoidsid raha sageli pantvangis, kuni saavad tasu selle eest, mida nad pidasid "teenuseks". Teised projektid on vähem õnnelikud ja maksavad ülimat hinda.
Seotud lugemine | Harmony ripub 1 miljoni dollari suuruse preemia 100 miljoni dollari varastatud raha tagastamise eest – kas sellest piisab?
Selle artikli kirjutamise ajal kaupleb Ethereum (ETH) 1,180 dollari juures ja viimase 3 tunni jooksul on kahjum 24%.
Allikas: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/