Ethereum насыя платформа XCarnival ырастады жаман актер 3.8 миллион доллар же 3,087 XNUMX ETH уурдаган. Peck Shield чынжырдагы коопсуздук фирмасынын отчетуна ылайык, хакер ETH карыз алып, протоколдун акылдуу келишиминин алсыздыгын пайдаланган жана "BAYC (Bored Ape Yacht Club NFTs) көп жолу күрөөгө коюу үчүн бир нече күрөө буйруктарын" түзгөн.
Related окуу | Морган Крик FTX BlockFi жардамына каршы 250 миллион долларды камсыз кылуу үчүн тендерге катышууну билдирди
XCarnival кредиттик бассейн катары иштейт (NFT). Платформа NFT ээлерине ликвиддүүлүктүн ордуна активдерин депозитке салууга мүмкүнчүлүк берет. Бул процесс үч акылдуу келишимди камтыйт: NFT менеджери, кредиттөө чектөөлөрүн башкаруу үчүн P2Controller жана фондду сактоо, ошондой эле деген башка коопсуздук фирмасы Go+ Security.
Хакер OpenSeaдагы популярдуу Bored Ape Yacht Club NFT коллекциясынан 5110-пунктту сатып алган. Кийинчерээк, ал бул активди XCarnivalге депозитке салып, "карыз алуу үчүн ошол эле NFTди колдонуу" үчүн чабуул жасаган.
Башка сөз менен айтканда, чабуулчу NFT күрөөгө алган, ETH карыз алган, андан кийин насыяны төлөбөстөн NFT алып салуу. Жаман актер бул процессти бассейн сууга чейин бир нече жолу бүтүргөн.
Go+ Security хакер чабуул жасоо үчүн Мастер акылдуу келишимин жана бир нече “кулдар” акылдуу келишимдерди түзгөнүн түшүндүрдү:
Андан кийин Slave 5338 NFTти алып салып, аны Устатка кайра жөнөттү, ал андан кийин бул процессти башка Кулдар менен кайталады. Ушундай жол менен алар кийинчерээк кредиттик маалымат катары колдонула турган көптөгөн orderIDдерди түзүштү. Бирок ката кетирилген xNFT келишими жокко чыгарылгандан кийин ишеним грамотасын жокко чыгарган жок.
XCarnival's иштеп жогоруда айтылган акылдуу контракттарында алсыздык менен, эгерде колдонуучу белгилүү бир чегинде калса, кол салууга мүмкүндүк берет. Go+ Security чабуулга жана акылдуу келишимдин аялуулугуна кошумчалайт: “Күрөө кайтарылгандан кийин дагы жарактуу. Бул келишимди ишке ашыруудагы өтө жөнөкөй жана жөнөкөй ката."
Ийгиликтүү кол салуудан улам, Ethereum-негизделген NFT кредиттөө протоколу хакерге келишимди сунуш кылууну чечти.
Ethereum Platform анын чабуулчусу менен келишим түзөт
Анын расмий Twitter аккаунтуна ылайык, XCarnival хакерге 1,500 ETH же 1.8 миллион доллар сыйлык сунуштаган. Уурдалган каражаттардын жарымы. Кол салган адам экинчи жарымын гана кайтарып бериши керек болчу жана алар акчаны сактап, эч кандай юридикалык кесепеттерге дуушар болбошу керек.
Платформанын артында турган команда хакердин шарттарга макул болгонун тастыктады. Уурдалган каражаттардын жарымы бассейнге кайтарылган. Ethereum насыя платформасы "коопсуздук агенттиктери хакердин географиялык жайгашкан жерин алдын ала аныкташкан" деп ырастайт.
Бул билдирүү чабуулчу үчүн мүмкүн болуучу юридикалык кесепеттерди кыйытып жаткандай сезилет, бирок бул долбоордун артында турган команда азырынча көбүрөөк маалымат бере элек.
7/8 Каражаттар кайтарылдыhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Тал Беэри (@TalBeerySec) Май 27, 2022
Бул хакердин уурдалган каражаттардын бир бөлүгүн же толук суммасын кайтарып берүүгө макул болгон биринчи учуру эмес. Кээ бир хакерлер борбордон ажыратылган каржы (DeFi) платформаларына кол салышат жана көбүнчө акчаны алар "кызмат" деп эсептеген нерсе үчүн төлөм алганга чейин барымтада кармашат. Башка долбоорлор азыраак бактылуу жана акыркы баасын төлөйт.
Related окуу | Гармония 1 миллион доллар уурдалган каражаттарды кайтаруу үчүн 100 миллион доллар сыйлык алды - бул жетиштүүбү?
жазуу учурунда, Ethereum (ETH) акыркы 1,180 саат ичинде 3% жоготуу менен $ 24 боюнча соода.
Булак: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/