Платформа крэдытавання Ethereum XCarnival пацверджаны дрэнны акцёр скраў 3.8 мільёна даляраў або 3,087 ETH. Згодна з справаздачай фірмы Peck Shield, якая займаецца бяспекай, хакер выкарыстаў уразлівасць смарт-кантракту пратаколу, запазычыўшы ETH і стварыўшы «некалькі заказаў, каб шмат разоў закладаць BAYC (Bored Ape Yacht Club NFT)».
Звязаныя чытанні | Морган-Крык сцвярджае, што імкнецца атрымаць 250 мільёнаў долараў для супрацьдзеяння выручцы FTX BlockFi
XCarnival працуе як пул крэдытавання незаменных токенаў (NFT). Платформа дазваляе трымальнікам NFT дэпазіраваць свае актывы ў абмен на ліквіднасць. Гэты працэс ўключае ў сябе тры смарт-кантракты: менеджэр NFT, P2Controller для кіравання абмежаваннямі крэдытавання і захоўванне сродкаў, як заявіў, іншай ахоўнай фірмай Go+ Security.
Хакер купіў прадмет 5110 з папулярнай калекцыі Bored Ape Yacht Club NFT на OpenSea. Пазней ён размясціў гэты актыў на XCarnival і правёў атаку, каб «выкарыстаць той жа NFT для запазычанняў».
Іншымі словамі, зламыснік змог закласці NFT, пазычыць ETH, а затым выдаліць NFT, не вяртаючы пазыку. Дрэнны акцёр некалькі разоў завяршыў гэты працэс, пакуль басейн не асушылі.
Go+ Security патлумачыў, што хакер стварыў майстар смарт-кантракт і некалькі «падпарадкаваных» смарт-кантрактаў для правядзення атакі:
Затым Slave 5338 адклікаў NFT і адправіў яго назад гаспадару, які затым паўтарыў гэты працэс з іншымі падпарадкаванымі. Такім чынам яны стварылі мноства ID заказаў, якія пазней можна выкарыстоўваць у якасці крэдытных дадзеных. Але памылковы кантракт xNFT не ануляваў уліковыя дадзеныя пасля адклікання.
XCarnival's працаваць з уразлівасцю на яго смарт-кантрактах, згаданых вышэй, якія дазваляюць атакаваць, калі карыстальнік застаецца ў межах пэўнага. Go+ Security дадаў аб атацы і ўразлівасці смарт-кантракту: «Залог застаецца сапраўдным пасля зняцця. Гэта вельмі простая і наіўная памылка ў выкананні кантракту».
У святле паспяховай атакі пратакол крэдытавання NFT на базе Ethereum вырашыў прапанаваць хакеру здзелку.
Платформа Ethereum заключае здзелкі са сваім зламыснікам
Згодна з афіцыйным акаўнтам у Twitter, XCarnival прапанаваў хакеру ўзнагароду ў 1,500 ETH або 1.8 мільёна долараў. Палова скрадзеных сродкаў. Зламысніку трэба было толькі вярнуць другую палову, і яны павінны былі захаваць грошы і не панесці юрыдычных наступстваў.
Каманда, якая стаіць за платформай, пацвердзіла, што хакер пагадзіўся з умовамі. Палову выкрадзеных сродкаў вярнулі ў пул. Платформа крэдытавання Ethereum сцвярджае, што «агенцтвы бяспекі папярэдне вызначылі геаграфічнае месцазнаходжанне хакера».
Гэта заява, здаецца, намякае на магчымыя юрыдычныя наступствы для зламысніка, але каманда, якая стаіць за гэтым праектам, пакуль не дае больш інфармацыі.
7/8 Сродкі вернутыяhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Таль Бэры (@TalBeerySec) Чэрвень 27, 2022
Гэта не першы раз, калі хакер згаджаецца вярнуць частку або поўную суму скрадзеных сродкаў. Некаторыя хакеры атакуюць дэцэнтралізаваныя фінансавыя платформы (DeFi) і часта трымаюць грошы ў закладніках, пакуль не атрымаюць аплату за тое, што яны лічылі «паслугай». Іншым праектам пашанцавала менш і яны плацяць канчатковую цану.
Звязаныя чытанні | Гармонія боўтае ўзнагароду ў 1 мільён долараў за вяртанне скрадзеных сродкаў у памеры 100 мільёнаў долараў - ці дастаткова?
На момант напісання артыкула Ethereum (ETH) гандлюецца па цане 1,180 долараў са стратай 3% за апошнія 24 гадзіны.
Крыніца: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/