NFT

Atakuojama NFT platforma XCarnival: piktadariai naudoja BAYC žetoną

06/28/2022
„Bitcoin Ethereum“ naujienos

straipsnio vaizdas

Vladislavas Sopovas

Dėl derybų įsilaužėliai jau grąžino didelę dalį turto, nusausinto iš XCarnival rezervo

Turinys

vaizdas

Pagal protokolą post mortem, saugumo agentūros jau „preliminariai nustatė“ įsilaužėlių buvimo vietą, vyksta derybos.

XCarnival NFT skolinimo platforma užpulta per neįprastą vektorių

Remiantis pareiškimu, kuriuo pasidalino PeckShield, pirmaujanti blokų grandinės produktų kibernetinio saugumo tiekėja, buvo užpulta NFT skolinimo platforma XCarnival.

Užpuolikai sugebėjo gauti begalę paskolų naudodami tą patį aukšto lygio NFT (Bored Apes Yacht Club Nr. 5110). Protokolas buvo nukreiptas į įsilaužėlių inicijuotų sandorių „pliūpsnį“.

Piktadariams pavyko sugeneruoti kelis sutarčių adresus, įkeisti BAYC NFT kaip užstatą, gauti paskolą, nedelsiant atsiimti NFT ir pakartoti šią procedūrą kelis kartus.

skelbimai

Taigi įsilaužėliai pasiskolino daugiau nei 3.8 mln. USD Ethereum (ETH) ekvivalentu ir nereikėjo grąžinti paskolos. Tai tapo įmanoma dėl skolinimosi modulio kodų bazės pažeidžiamumo.

Piratai pradėjo grąžinti lėšas

Komanda nedelsdama pranešė apie problemą kibernetinio saugumo ir teisėsaugos institucijoms. Iš pradžių įsilaužėliui buvo pasiūlyta 300,000 1.8 USD premija, kad atgautų lėšas, tačiau vėliau suma buvo padidinta iki XNUMX mln.

Pagrindinė sutartis, taip pat indėlių ir skolinimosi funkcijos buvo uždarytos, kad XCarnival vartotojai neprarastų savo lėšų.

Kadangi užpuolikas buvo susektas, prasidėjo derybos. Iki spaudos laiko jis/ji grąžino 1,467 XNUMX pavogtus eterius (ETH). Taip pat reikėtų pažymėti, kad pradinės lėšos atakai buvo pervestos iš „Tornado Cash“ maišytuvo.

Kaip rašė U.Today anksčiau, įsilaužėliai užpuolė Inverse Finance decentralizuoto skolinimo / skolinimosi protokolą anksčiau šį mėnesį; nuostoliai užtemdė 1.25 mln.

Šaltinis: https://u.today/nft-platform-xcarnival-under-attack-malefactors-use-bayc-token