Ethereum skolinimo platforma XCarnival patvirtino blogas aktorius pavogė 3.8 milijono dolerių arba 3,087 ETH. Remiantis grandinės saugos įmonės „Peck Shield“ ataskaita, įsilaužėlis pasinaudojo protokolo išmaniosios sutarties pažeidžiamumu, skolindamasis ETH ir sukurdamas „daug kartų įkeitimo pavedimus BAYC (Bored Ape Yacht Club NFT) daug kartų įkeisti“.
Susiję skaitymai Morgan Creek pranešė, kad ketina užsitikrinti 250 mln.
XCarnival veikia kaip nepakeičiamas žetonų (NFT) skolinimo fondas. Platforma leidžia NFT turėtojams deponuoti savo turtą mainais į likvidumą. Šis procesas apima tris išmaniąsias sutartis: NFT valdytoją, P2Controller, skirtą skolinimo apribojimams valdyti, ir lėšų saugojimą, kaip pareiškė, kitos saugos įmonės „Go+ Security“.
Įsilaužėlis nusipirko prekę 5110 iš populiarios Bored Ape Yacht Club NFT kolekcijos OpenSea. Vėliau jis perdavė šį turtą „XCarnival“ ir surengė ataką, kad „naudotų tą patį NFT skolinantis“.
Kitaip tariant, užpuolikas galėjo įkeisti NFT, pasiskolino ETH ir tada pašalinti NFT negrąžindamas paskolos. Blogas aktorius kelis kartus užbaigė šį procesą, kol baseinas buvo nusausintas.
„Go+ Security“ paaiškino, kad įsilaužėlis sukūrė „Master“ išmaniąją sutartį ir keletą „vergų“ išmaniųjų kontraktų, kad galėtų įvykdyti ataką:
Tada Slave 5338 atsiėmė NFT ir nusiuntė jį atgal šeimininkui, kuris pakartojo šį procesą su kitais vergais. Tokiu būdu jie sukūrė daug orderID, kurie vėliau gali būti naudojami kaip skolinimo kredencialai. Tačiau sugadinta xNFT sutartis neatšaukė kredencialo po pasitraukimo.
XKarnavalas valdomas su aukščiau paminėtu išmaniųjų sutarčių pažeidžiamumu, kuris įgalina ataką, jei vartotojas neviršija tam tikros ribos. „Go+ Security“ pridūrė apie ataką ir išmaniosios sutarties pažeidžiamumą: „Užstatas vis dar galioja atsiėmus. Tai labai paprasta ir naivi sutarties įgyvendinimo klaida.
Atsižvelgiant į sėkmingą ataką, Ethereum pagrįstas NFT skolinimo protokolas nusprendė pasiūlyti įsilaužėliui sandorį.
Ethereum platforma susitaria su savo užpuoliku
Remiantis oficialia „Twitter“ paskyra, „XCarnival“ įsilaužėliui pasiūlė 1,500 ETH arba 1.8 mln. Pusė pavogtų lėšų. Užpuolikui tereikėjo grąžinti antrąją pusę, o pinigus jie pasiliko ir nepatiria jokių teisinių pasekmių.
Platformos komanda patvirtino, kad įsilaužėlis sutiko su sąlygomis. Pusė pavogtų lėšų buvo grąžinta į baseiną. „Ethereum“ skolinimo platforma teigia, kad „saugos agentūros preliminariai nustatė įsilaužėlio geografinę vietą“.
Atrodo, kad šis pareiškimas užsimena apie galimas teisines pasekmes užpuolikui, tačiau šio projekto komanda dar nepateiks daugiau informacijos.
7/8 Grąžintos lėšoshttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
- Tal Be'ery (@TalBeerySec) Birželio 27, 2022
Tai ne pirmas kartas, kai įsilaužėlis sutinka grąžinti dalį ar visą pavogtų lėšų sumą. Kai kurie įsilaužėliai atakuoja decentralizuotų finansų (DeFi) platformas ir dažnai laikydavo pinigus įkaitais, kol sumokės už, jų nuomone, „paslaugą“. Kiti projektai yra mažiau sėkmingi ir moka didžiausią kainą.
Susiję skaitymai Harmony Dangles 1 mln. USD atlygis už 100 mln. USD pavogtų lėšų grąžinimą – ar to užtenka?
Rašymo metu „Ethereum“ (ETH) prekiauja 1,180 3 USD, o per pastarąsias 24 valandas prarado XNUMX %.
Šaltinis: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/