Dėl derybų įsilaužėliai jau grąžino didelę dalį turto, nusausinto iš XCarnival rezervo
Turinys
Pagal protokolą post mortem, saugumo agentūros jau „preliminariai nustatė“ įsilaužėlių buvimo vietą, vyksta derybos.
XCarnival NFT skolinimo platforma užpulta per neįprastą vektorių
Remiantis pareiškimu, kuriuo pasidalino PeckShield, pirmaujanti blokų grandinės produktų kibernetinio saugumo tiekėja, buvo užpulta NFT skolinimo platforma XCarnival.
1/ @XCarnival_Lab buvo išnaudotas daugybėje txs (vienas nulaužtas tx: https://t.co/LUcxSU9UQn),
įsilaužėlis gauna 3,087 3.8 ETH (~ XNUMX mln. USD) (protokolo nuostoliai gali būti didesni). pic.twitter.com/mmGw5PQfbt- „PeckShield Inc.“ (@peckshield) Birželio 26, 2022
Užpuolikai sugebėjo gauti begalę paskolų naudodami tą patį aukšto lygio NFT (Bored Apes Yacht Club Nr. 5110). Protokolas buvo nukreiptas į įsilaužėlių inicijuotų sandorių „pliūpsnį“.
Piktadariams pavyko sugeneruoti kelis sutarčių adresus, įkeisti BAYC NFT kaip užstatą, gauti paskolą, nedelsiant atsiimti NFT ir pakartoti šią procedūrą kelis kartus.
Taigi įsilaužėliai pasiskolino daugiau nei 3.8 mln. USD Ethereum (ETH) ekvivalentu ir nereikėjo grąžinti paskolos. Tai tapo įmanoma dėl skolinimosi modulio kodų bazės pažeidžiamumo.
Piratai pradėjo grąžinti lėšas
Komanda nedelsdama pranešė apie problemą kibernetinio saugumo ir teisėsaugos institucijoms. Iš pradžių įsilaužėliui buvo pasiūlyta 300,000 1.8 USD premija, kad atgautų lėšas, tačiau vėliau suma buvo padidinta iki XNUMX mln.
Pagrindinė sutartis, taip pat indėlių ir skolinimosi funkcijos buvo uždarytos, kad XCarnival vartotojai neprarastų savo lėšų.
Kadangi užpuolikas buvo susektas, prasidėjo derybos. Iki spaudos laiko jis/ji grąžino 1,467 XNUMX pavogtus eterius (ETH). Taip pat reikėtų pažymėti, kad pradinės lėšos atakai buvo pervestos iš „Tornado Cash“ maišytuvo.
Kaip rašė U.Today anksčiau, įsilaužėliai užpuolė Inverse Finance decentralizuoto skolinimo / skolinimosi protokolą anksčiau šį mėnesį; nuostoliai užtemdė 1.25 mln.
Šaltinis: https://u.today/nft-platform-xcarnival-under-attack-malefactors-use-bayc-token