La piattaforma di prestito di Ethereum XCarnival ha confermato che un cattivo attore ha rubato 3,8 milioni di dollari o 3.087 ETH. Secondo un rapporto della società di sicurezza a catena Peck Shield, un hacker ha sfruttato una vulnerabilità sul contratto intelligente del protocollo prendendo in prestito ETH e creando "più ordini di pegno per impegnare BAYC (Bored Ape Yacht Club NFTs) molte volte".
Lettura correlata | Morgan Creek ha dichiarato di essere in un'offerta per assicurarsi $ 250 milioni per contrastare il salvataggio di FTX BlockFi
XCarnival opera come un pool di prestito di token non fungibili (NFT). La piattaforma consente ai titolari di NFT di depositare i propri asset in cambio di liquidità. Questo processo prevede tre contratti intelligenti: un gestore NFT, un P2Controller per gestire le restrizioni sui prestiti e lo stoccaggio dei fondi, come affermato da un'altra società di sicurezza Go+ Security.
L'hacker ha acquistato l'oggetto 5110 dalla popolare collezione NFT Bored Ape Yacht Club su OpenSea. Successivamente, ha depositato questa risorsa su XCarnival e ha condotto un attacco per "utilizzare la stessa NFT per prendere in prestito".
In altre parole, l'attaccante è stato in grado di impegnare l'NFT, prendere in prestito ETH e quindi rimuovere l'NFT senza rimborsare il prestito. Il cattivo attore ha completato questo processo diverse volte fino a quando la piscina non è stata prosciugata.
Go+ Security ha spiegato che l'hacker ha creato uno smart contract Master e diversi smart contract "slave" per condurre l'attacco:
Quindi lo Slave 5338 ha ritirato l'NFT e l'ha rispedito al Master, che ha poi ripetuto questo processo con altri Slave. In questo modo hanno creato molti orderID, che possono essere successivamente utilizzati come credenziali di prestito. Ma il contratto xNFT con bug non ha revocato le credenziali dopo il ritiro.
XCarnival ha operato con una vulnerabilità sui suoi contratti intelligenti, menzionata sopra, che consentono l'attacco se l'utente rimane entro un determinato. Aggiunto Go+ Security sull'attacco e la vulnerabilità dello smart contract: “La garanzia è ancora valida dopo il ritiro. Questo è un bug molto semplice e ingenuo nell'implementazione del contratto".
Alla luce del successo dell'attacco, il protocollo di prestito NFT basato su Ethereum ha deciso di offrire all'hacker un accordo.
La piattaforma Ethereum fa affari con il suo aggressore
Secondo il suo account Twitter ufficiale, l'XCarnival ha offerto all'hacker una taglia di 1.500 ETH o 1,8 milioni di dollari. Metà dei fondi rubati. L'attaccante aveva solo bisogno di restituire l'altra metà e hanno avuto modo di trattenere i soldi e di non subire conseguenze legali.
Il team dietro la piattaforma ha confermato che l'hacker ha accettato i termini. La metà dei fondi rubati è stata restituita alla piscina. La piattaforma di prestito Ethereum afferma che "le agenzie di sicurezza hanno determinato provvisoriamente la posizione geografica dell'hacker".
Questa affermazione sembra suggerire possibili conseguenze legali per l'attaccante, ma il team dietro questo progetto deve ancora fornire ulteriori informazioni.
7/8 Fondi restituiti https://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) 27 giugno 2022
Questa non è la prima volta che un hacker accetta di restituire una parte o l'intero importo dei fondi rubati. Alcuni hacker attaccano le piattaforme di finanza decentralizzata (DeFi) e spesso tengono in ostaggio il denaro fino a quando non ricevono il pagamento per quello che considerano un "servizio". Altri progetti sono meno fortunati e pagano il prezzo finale.
Lettura correlata | Harmony regala $ 1 milione di ricompensa per la restituzione di $ 100 milioni di fondi rubati: è abbastanza?
Al momento in cui scrivo, Ethereum (ETH) è scambiato a $ 1.180 con una perdita del 3% nelle ultime 24 ore.
