Ethereum Prêt Plattform XCarnival bestätegt gouf e schlechte Schauspiller huet $ 3.8 Millioune geklaut oder 3,087 ETH. Laut engem Bericht vun der On-Chain Sécherheetsfirma Peck Shield, huet en Hacker eng Schwachstelle vum Smart Kontrakt vum Protokoll exploitéiert andeems hien ETH léint an "Multiple Pledge Commanden erstellt fir BAYC (Bored Ape Yacht Club NFTs) vill Mol ze verpflichte".
Verbonnen Liesung | De Morgan Creek huet gesot fir an der Offer ze sinn fir $ 250-M ze sécheren fir FTX BlockFi Bailout z'erhalen
XCarnival funktionnéiert als en net-fungiblen Token (NFT) Prêtpool. D'Plattform erlaabt NFT-Inhaber hir Verméigen am Austausch fir Liquiditéit ze deposéieren. Dëse Prozess ëmfaasst dräi Smart Kontrakter: en NFT Manager, e P2Controller fir Prêtbeschränkungen ze managen, a Fondsspäicherung, wéi dohinnergestallt vun enger anerer Sécherheetsfirma Go+ Security.
Den Hacker huet den Artikel 5110 vun der populärer Bored Ape Yacht Club NFT Sammlung op OpenSea kaaft. Spéider huet hien dësen Verméigen op XCarnival deposéiert an en Attack gemaach fir "deeselwechten NFT fir ze léinen".
An anere Wierder, den Ugräifer konnt den NFT verpflichte, ETH geléint, an dann den NFT ewechhuelen ouni de Prêt zréckzebezuelen. De schlechte Schauspiller huet dëse Prozess e puer Mol ofgeschloss bis de Pool entlooss gouf.
Go+ Security huet erkläert datt den Hacker e Master Smart Kontrakt a verschidde "Sklaven" Smart Kontrakter erstallt huet fir den Attack ze maachen:
Dunn huet de Sklave 5338 den NFT zréckgezunn an en zréck op de Master geschéckt, deen dunn dëse Prozess mat anere Sklaven widderholl huet. Op dës Manéier hunn se vill OrderIDs erstallt, déi spéider als Prêt-Umeldungsinformatioun benotzt kënne ginn. Awer bugged xNFT Kontrakt huet d'Umeldungsinformatioun net zréckgezunn nodeems hien zréckgezunn ass.
XCarnival bedreift mat enger Schwachstelle op seng Smart Kontrakter, uewen ernimmt, déi den Attack aktivéieren wann de Benotzer bannent engem bestëmmte bleift. Go+ Sécherheet bäigefüügt iwwer d'Attack an d'Smart Kontrakt Schwachstelle: "Sécherheet ass nach gëlteg nom Réckzuch. Dëst ass e ganz einfachen & naive Feeler an der Kontraktimplementatioun.
Am Liicht vun der erfollegräicher Attack huet den Ethereum-baséierten NFT Prêtprotokoll decidéiert den Hacker en Deal ze bidden.
Ethereum Plattform mécht Deals mat sengem Ugräifer
No sengem offiziellen Twitter Kont huet den XCarnival dem Hacker eng 1,500 ETH oder $ 1.8 Millioune Bounty ugebueden. D'Halschent vun de geklauten Fongen. Den Ugräifer brauch nëmmen déi aner Halschent zréckzebréngen a si hunn d'Sue behalen a keng juristesch Konsequenzen erlidden.
D'Team hannert der Plattform huet bestätegt datt den Hacker d'Konditioune averstanen ass. D'Halschent vun de geklauten Fongen goufen an de Pool zréckgezunn. D'Ethereum Prêtplattform behaapt "Sécherheetsagenturen hunn d'geographesch Lag vum Hacker tentativ festgeluecht".
Dës Ausso schéngt op méiglech legal Konsequenze fir den Ugräifer ze weisen, awer d'Team hannert dësem Projet ass nach net méi Informatioun ze ginn.
7/8 Fongen zréckhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juni 27, 2022
Dëst ass net déi éischte Kéier datt en Hacker averstanen ass en Deel oder de ganze Betrag vun de geklauten Fongen zréckzeginn. E puer Hacker attackéieren dezentraliséiert Finanzen (DeFi) Plattformen an hunn dacks d'Suen als Geisel gehal, bis se d'Bezuelung kréien fir wat se als "Service" ugesinn hunn. Aner Projete si manner Gléck a bezuelen den ultimative Präis.
Verbonnen Liesung | Harmony dangles $ 1M Belounung fir Retour vun $ 100M geklaut Fongen - Ass et genuch?
Zu der Zäit vum Schreiwen handelt Ethereum (ETH) bei $ 1,180 mat engem Verloscht vun 3% an de leschten 24 Stonnen.
Quell: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/