Platforma NFT XCarnival atakowana: złoczyńcy używają tokena BAYC

Spis treści

• Platforma pożyczkowa XCarnival NFT zaatakowana za pomocą nietypowego wektora
• Hakerzy zaczęli zwracać środki

Według protokołu sekcja zwłokagencje bezpieczeństwa „wstępnie ustaliły” już lokalizację hakerów i trwają negocjacje.

Platforma pożyczkowa XCarnival NFT zaatakowana za pomocą nietypowego wektora

Zgodnie z oświadczeniem udostępnionym przez PeckShield, wiodącego dostawcę cyberbezpieczeństwa dla produktów typu blockchain, zaatakowano platformę pożyczkową NFT XCarnival.

1/ @Xcarnival_lab został wykorzystany w lawinie txs (jeden hack tx: https://t.co/LUcxSU9UQn),
co prowadzi do zysku 3,087 ETH (~3.8 mln USD) dla hakera (strata protokołu może być większa). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) 26 czerwca 2022 r.

Atakującym udało się uzyskać nieskończoną liczbę pożyczek za pomocą tego samego głośnego NFT (Bored Apes Yacht Club nr 5110). Celem protokołu była „fala” transakcji inicjowanych przez hakerów.

Złoczyńcom udało się wygenerować wiele adresów umów, zastawić BAYC NFT jako zabezpieczenie, uzyskać pożyczkę, natychmiast wycofać NFT i wielokrotnie powtórzyć tę procedurę.

W związku z tym hakerzy pożyczyli ponad 3.8 miliona dolarów w ekwiwalencie Ethereum (ETH) bez konieczności spłaty pożyczki. Stało się to możliwe dzięki luce w kodzie modułu pożyczkowego.

Hakerzy zaczęli zwracać środki

Zespół niezwłocznie zgłosił problem organom odpowiedzialnym za cyberbezpieczeństwo i organom ścigania. Początkowo hakerowi zaoferowano nagrodę w wysokości 300,000 1.8 dolarów za odzyskanie środków, ale później kwota ta została zwiększona do XNUMX miliona dolarów.

Główna umowa oraz funkcje depozytowe i pożyczkowe zostały wyłączone, aby zapobiec utracie środków przez użytkowników XCarnival.

Po wyśledzeniu napastnika rozpoczęły się negocjacje. Do czasu publikacji prasy zwrócił on/ona skradzione 1,467 eterów (ETH). Należy również zauważyć, że początkowe środki na atak zostały przelane z miksera Tornado Cash.

Jak już wcześniej informowało U.Today, na początku tego miesiąca hakerzy zaatakowali zdecentralizowany protokół udzielania/pożyczeń Inverse Finance; straty przyćmiły równowartość 1.25 miliona dolarów.