Ethereum aizdevumu platforma XCarnival apstiprināts slikts aktieris nozaga 3.8 miljonus dolāru jeb 3,087 ETH. Saskaņā ar ķēdes drošības firmas Peck Shield ziņojumu hakeris izmantoja protokola viedā līguma ievainojamību, aizņemoties ETH un izveidojot "vairākus ieķīlāšanas rīkojumus, lai ieķīlātu BAYC (Bored Ape Yacht Club NFTs) daudzas reizes".
Saistītie lasījumi | Morgan Creek paziņoja, ka vēlas nodrošināt 250 miljonus USD, lai novērstu FTX BlockFi glābšanu
XCarnival darbojas kā neaizstājamu marķieru (NFT) aizdevumu fonds. Platforma ļauj NFT turētājiem noguldīt savus aktīvus apmaiņā pret likviditāti. Šis process ietver trīs viedos līgumus: NFT pārvaldnieku, P2Controller, lai pārvaldītu kreditēšanas ierobežojumus, un līdzekļu glabāšanu, kā Noteikts cita apsardzes firma Go+ Security.
Hakeris iegādājās preci 5110 no populārās Bored Ape Yacht Club NFT kolekcijas vietnē OpenSea. Vēlāk viņš noguldīja šo īpašumu XCarnival un veica uzbrukumu, lai “aizņemšanai izmantotu to pašu NFT”.
Citiem vārdiem sakot, uzbrucējs varēja ieķīlāt NFT, aizņēmās ETH un pēc tam noņemt NFT, neatmaksājot aizdevumu. Sliktais aktieris pabeidza šo procesu vairākas reizes, līdz baseins tika iztukšots.
Go+ Security paskaidroja, ka hakeris izveidoja galveno viedo līgumu un vairākus “vergu” viedos līgumus, lai veiktu uzbrukumu:
Tad Slave 5338 atsauca NFT un nosūtīja to atpakaļ Master, kurš pēc tam atkārtoja šo procesu ar citiem vergiem. Tādā veidā viņi izveidoja daudzus orderID, kurus vēlāk var izmantot kā aizdevuma akreditācijas datus. Taču bojātais xNFT līgums neatcēla akreditācijas datus pēc izstāšanās.
XCarnival's darbina ar iepriekš minēto viedo līgumu ievainojamību, kas ļauj veikt uzbrukumu, ja lietotājs paliek noteiktā robežās. Go+ Security pievienoja uzbrukumam un viedā līguma ievainojamību: “Nodrošinājums joprojām ir spēkā pēc izņemšanas. Šī ir ļoti vienkārša un naiva kļūda līguma izpildē.
Ņemot vērā veiksmīgo uzbrukumu, Ethereum balstītais NFT aizdevuma protokols nolēma piedāvāt hakeram darījumu.
Platforma Ethereum vienojas ar savu uzbrucēju
Saskaņā ar tā oficiālo Twitter kontu XCarnival piedāvāja hakeram 1,500 ETH jeb 1.8 miljonus ASV dolāru. Puse no nozagtajiem līdzekļiem. Uzbrucējam atlika tikai atdot otru pusi, un viņi saņēma naudu un necieš nekādas juridiskas sekas.
Platformas komanda apstiprināja, ka hakeris piekrita noteikumiem. Puse no nozagtajiem līdzekļiem tika atgriezta baseinā. Ethereum aizdevumu platforma apgalvo, ka "drošības aģentūras ir provizoriski noteikušas hakera ģeogrāfisko atrašanās vietu".
Šķiet, ka šis paziņojums norāda uz iespējamām juridiskām sekām uzbrucējam, taču šī projekta komanda vēl nesniedz plašāku informāciju.
7/8 Līdzekļi atgrieztihttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Jūnijs 27, 2022
Šī nav pirmā reize, kad hakeris piekrīt atdot daļu vai visu nozagto līdzekļu summu. Daži hakeri uzbrūk decentralizētām finanšu (DeFi) platformām un bieži tur naudu par ķīlnieku, līdz saņem samaksu par to, ko viņi uzskatīja par “pakalpojumu”. Citiem projektiem veicas mazāk un tie maksā augstāko cenu.
Saistītie lasījumi | Harmony Dangles 1 miljona dolāru atlīdzība par 100 miljonu dolāru nozagto līdzekļu atgriešanu — vai ar to pietiek?
Rakstīšanas laikā Ethereum (ETH) tirgojas par USD 1,180 ar 3% zaudējumiem pēdējo 24 stundu laikā.
Avots: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/