Карнавал «Metaverse Asset Bank», які ў шквале здзелак і прывяло да прыбытку каля 3,000 ETH хакерам, знайшоўшы рашэнне, якое паменшыла шкоду платформе і прымусіла хакера выглядаць лепш. Кампанія PeckShield Inc.
Як здарыўся ўзлом?
Недахоп у кодзе платформы дазволіў хакерам адклікацца абавязаліся NFT і выкарыстоўваць іх у якасці закладу. Пазней гэты механізм быў выкарыстаны для зліву актываў з басейна. Асноўнай праблемай стала адсутнасць рашэння ў дамове, якое не правярае, ці была закладзеная NFT адкліканая пазычальнікам.
Як заўсёды, хакер атрымаў свае сродкі ад рашэння для змешвання манет Tornado Cash, што дазволіла яму заставацца цалкам ананімным. Патэнцыйна эксплуататар мог лёгка змыць скрадзеныя сродкі і застацца пад радарам, а потым неяк перавесці іх у фіят.
Добры канец
На шчасце для карыстальнікаў платформы і кіраўніцкай каманды, хакер пагадзіўся вярнуць палову выкрадзеных сродкаў толькі пры адной умове: калі ўся гісторыя з эксплойтам будзе лічыцца «багам за памылку», ён пазбегне ўсіх будучых судовых працэсаў.
Здаецца, астатнія 1467 ETH толькі што вернутыя. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) Чэрвень 27, 2022
Ён папрасіў генеральнага дырэктара Carnival даць ўладальніку адраса, які заканчваецца на «B800a», узнагароду ў 1,500 ETH у абмен на скрадзеныя сродкі. Па сутнасці, платформа заплаціла хакеру ўзнагароду за памылку ў 1.8 мільёна долараў, што лічыцца больш чым шчодры.
З пачатку года колькасць эксплойтаў і ўзломаў розных платформаў DeFi і калекцый NFT значна скарацілася, хутчэй за ўсё, з-за падзення папулярнасці абедзвюх галін і краху криптовалютного рынку ў траўні і чэрвені.
Крыніца: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how