Penyedia likuiditas Ethereum XCarnival menegosiasikan pengembalian 50% ETH yang dicuri

XCarnival, penyedia likuiditas untuk ekosistem Ethereum, memulihkan 1,467 Ether (ETH) hanya sehari setelah mengalami eksploitasi yang menghabiskan 3,087 ETH, senilai sekitar $3.8 juta, dari protokol.

Penyelidik Blockchain Peckshield melihat peretasan XCarnival saat menemukan aliran transaksi yang akhirnya mengeluarkan 3,087 ETH dari protokol. Menjelaskan sifat eksploitasi, Peckshield menyatakan:

“Peretasan ini dimungkinkan dengan membiarkan NFT yang dijanjikan yang ditarik untuk tetap digunakan sebagai jaminan, yang kemudian dieksploitasi oleh peretas untuk menguras aset dari kumpulan.”

Segera setelah pengungkapan tersebut, XCarnival secara proaktif memberi tahu pengguna tentang peretasan sambil menangguhkan sementara sebagian layanannya untuk melawan serangan yang mengganggu. Protokol tersebut juga menawarkan 1,500 ETH kepada peretas sebagai hadiah selain menawarkan pembebasan dari proses hukum.

XCarnival diserang pada 26 Juni 2022 dan menangguhkan sebagian protokol. Pejabat XCarnival akan memberikan 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a pemilik 1500 ETH bounty.
Pada saat yang sama, pejabat XCarnival secara eksplisit membebaskan orang tersebut dari tindakan hukum.
Oleh tim XCarnival
— XKarnaval (@XKarnival_Lab) Juni 27, 2022

Akhirnya, XCarnival menangguhkan kontrak pintar dan fitur deposit dan peminjaman hingga dapat mengidentifikasi dan memperbaiki bug internal yang memungkinkan peretasan. Menurut Packshield, peretas menggunakan janji yang sebelumnya ditarik token yang tidak dapat dipertukarkan (NFT) dari koleksi Bored Ape Yacht Club (BAYC) sebagai jaminan untuk menguras aset.

Diagram alir yang menunjukkan transfer dana XCarnival yang dicuri. Sumber: Peckshield

Sementara dompet peretas XCarnival menunjukkan keberadaan 3,087 ETH setelah peretasan, dana yang tersisa tampaknya berhasil disedot — dengan dompet menunjukkan 0 ETH pada saat penulisan.

Saldo dompet ETH dari peretas XCarnival. Sumber: etherscan.io

XCarnival mengumumkan rencana untuk mengungkapkan detail tentang situasi di masa mendatang.

Terkait: Peretas topi putih mencoba memulihkan 'jutaan' Bitcoin yang hilang, hanya menemukan $105

Apa yang bisa menjadi cerita tahun ini ternyata mengecewakan setelah upaya dari peretas topi putih untuk memulihkan ponsel terkunci yang penuh dengan Bitcoin (BTC) menghasilkan penemuan hanya 0.00300861 BTC.

Seperti yang dilaporkan Cointelegraph, Joe Grand, seorang insinyur komputer dan peretas perangkat keras, melakukan perjalanan dari Portland ke Seattle untuk berpotensi memulihkan BTC dari ponsel Samsung Galaxy SIII yang dimiliki oleh Lavar, operator bus lokal.

Upaya cermat yang melibatkan penyolderan mikro, mengunduh memori, dan menemukan pola gesek Samsung untuk akses, Lavar membuka dompet MyCelium Bitcoin-nya dan hanya menemukan 0.00300861 BTC — senilai $105 pada saat itu, turun menjadi sekitar $63 pada saat publikasi.