Ethereum hitelezési platform XCarnival megerősített egy rossz színész 3.8 millió dollárt vagy 3,087 ETH-t lopott. A láncon belüli Peck Shield biztonsági cég jelentése szerint egy hacker kihasználta a protokoll intelligens szerződésében lévő sebezhetőséget azáltal, hogy ETH-t kölcsönzött, és „többszöri zálogjogot hozott létre a BAYC (Bored Ape Yacht Club NFT-k) sokadjára” elzálogosítására.
Kapcsolódó olvasmányok A Morgan Creek állítólag 250 millió dollárt pályázik az FTX BlockFi elleni kimentésére
Az XCarnival nem helyettesíthető token (NFT) hitelezési alapként működik. A platform lehetővé teszi az NFT-tulajdonosok számára, hogy likviditásért cserébe letétbe helyezzék eszközeiket. Ez a folyamat három intelligens szerződést foglal magában: egy NFT-menedzser, egy P2Controller a hitelezési korlátozások kezelésére, és egy pénztárolás, mint pl. meghatározott egy másik biztonsági cég, a Go+ Security.
A hacker megvásárolta az 5110-es tételt az OpenSea népszerű Bored Ape Yacht Club NFT kollekciójából. Később ezt az eszközt elhelyezte az XCarnivalon, és támadást hajtott végre, hogy „ugyanazt az NFT-t használja kölcsönzésre”.
Más szóval, a támadó képes volt zálogba adni az NFT-t, kölcsönkérte az ETH-t, majd eltávolította az NFT-t anélkül, hogy visszafizette volna a kölcsönt. A rossz színész ezt a folyamatot többször befejezte, amíg a medence le nem ürült.
A Go+ Security kifejtette, hogy a hacker egy Master intelligens szerződést és több "rabszolga" intelligens szerződést hozott létre a támadás végrehajtásához:
Ezután a Slave 5338 visszavonta az NFT-t és visszaküldte a Mesternek, aki ezután megismételte ezt a folyamatot más Slave-okkal. Ily módon számos rendelésazonosítót hoztak létre, amelyeket később kölcsönzési hitelesítő adatokként használhatnak fel. De a meghibásodott xNFT-szerződés nem vonja vissza a megbízólevelet a visszavonás után.
XCarnival hajtású intelligens szerződéseinek fent említett sebezhetőségével, amelyek lehetővé teszik a támadást, ha a felhasználó egy bizonyos határon belül marad. A Go+ Security hozzátette a támadáshoz és az intelligens szerződések sebezhetőségéhez: „A biztosíték a visszavonás után is érvényes. Ez egy nagyon egyszerű és naiv hiba a szerződés végrehajtásában.”
A sikeres támadás fényében az Ethereum-alapú NFT-kölcsönzési protokoll úgy döntött, hogy alkut ajánl a hackernek.
Az Ethereum Platform alkukat köt támadójával
A hivatalos Twitter-fiókja szerint az XCarnival 1,500 ETH-t vagy 1.8 millió dolláros jutalmat ajánlott fel a hackernek. Az ellopott pénz fele. A támadónak csak a másik felét kellett visszaadnia, a pénzt pedig megtartották, és jogi következményeket nem kell viselniük.
A platform mögött álló csapat megerősítette, hogy a hacker beleegyezett a feltételekbe. Az ellopott pénz fele visszakerült a medencébe. Az Ethereum hitelező platform azt állítja, hogy „a biztonsági ügynökségek feltételesen meghatározták a hacker földrajzi elhelyezkedését”.
Úgy tűnik, hogy ez a kijelentés a támadót érintő lehetséges jogi következményekre utal, de a projekt mögött álló csapat egyelőre nem szolgált további információkkal.
7/8 Az alapok visszatértekhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
- Tal Be'ery (@TalBeerySec) Június 27, 2022
Nem ez az első alkalom, hogy egy hacker beleegyezik abba, hogy visszaadja az ellopott pénz egy részét vagy a teljes összeget. Egyes hackerek megtámadják a decentralizált pénzügyi (DeFi) platformokat, és gyakran tartották túszul a pénzt, amíg kifizetést nem kapnak az általuk „szolgáltatásnak” tartott szolgáltatásokért. Más projektek kevésbé szerencsések, és megfizetik a végső árat.
Kapcsolódó olvasmányok A Harmony 1 millió dolláros jutalmat kap 100 millió dolláros ellopott pénzeszköz visszaadásáért – ez elég?
A cikk írásakor az Ethereum (ETH) 1,180 dolláron kereskedett, 3%-os veszteséggel az elmúlt 24 órában.
Forrás: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/