NFT Platform XCarnival под атака: Зловредниците използват токен BAYC

Съдържание

• XCarnival NFT платформа за кредитиране е атакувана чрез необичаен вектор
• Хакерите започнаха да връщат средства

Според протокола аутопсияагенциите за сигурност вече са определили местонахождението на хакерите и се водят преговори.

XCarnival NFT платформа за кредитиране е атакувана чрез необичаен вектор

Според изявлението, споделено от PeckShield, водещ доставчик на киберсигурност за блокчейн продукти, платформата за кредитиране на NFT XCarnival е била атакувана.

1/ @XCarnival_Lab беше експлоатиран в поток от txs (един хак tx: https://t.co/LUcxSU9UQn),
което води до печалба от 3,087 3.8 ETH (~ XNUMX милиона долара) за хакера (загубата на протокола може да е по-голяма). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) Юни 26, 2022

Нападателите успяха да получат безкраен брой заеми, използвайки един и същ високопрофилен NFT (Bored Apes Yacht Club #5110). Протоколът беше насочен към „вълна“ от транзакции, инициирани от хакери.

Нарушителите успяха да генерират множество адреси на договори, да заложат BAYC NFT като обезпечение, да получат заем, незабавно да изтеглят NFT и да повторят тази процедура няколко пъти.

Като такива, хакерите са взели назаем над $3.8 милиона в еквивалент на Ethereum (ETH), без да е необходимо да връщат заема. Това стана възможно поради уязвимостта в кодовата база на модула за заемане.

Хакерите започнаха да връщат средства

Екипът незабавно съобщи за проблема на киберсигурността и правоприлагащите органи. Първоначално на хакера беше предложена награда от 300,000 1.8 долара за възстановяване на средствата, но след това сумата беше увеличена на XNUMX милиона долара.

Основният договор, както и функциите за депозит и заем бяха спрени, за да се предотврати загубата на средства на потребителите на XCarnival.

Тъй като нападателят беше проследен, преговорите започнаха. До момента на пресата той/тя е върнал 1,467 откраднати етери (ETH). Трябва също да се отбележи, че първоначалните средства за атаката бяха преведени от миксера Tornado Cash.

Както беше посочено от U.Today по-рано, хакерите атакуваха протокола за децентрализирано отпускане/заемане на Inverse Finance по-рано този месец; загубите надхвърлиха 1.25 милиона долара в еквивалент.