“Metaverse Asset Bank,” Karnaval, yang mengalami eksploitasi kontrak pintar dalam kebingungan transaksi dan menyebabkan keuntungan sekitar 3,000 ETH oleh peretas menemukan resolusi yang mengurangi kerusakan pada platform dan membuat peretas terlihat lebih baik, per PeckShield Inc.
Bagaimana peretasan itu terjadi?
Cacat dalam kode platform memungkinkan peretas untuk menarik diri berjanji NFT dan menggunakannya sebagai jaminan. Mekanisme itu kemudian digunakan untuk mengalirkan aset dari pool. Masalah utama adalah kurangnya penilaian dalam kontrak yang belum memeriksa apakah NFT yang dijanjikan telah ditarik oleh peminjam.
Seperti biasa, peretas menerima dananya dari solusi pencampuran koin Tornado Cash, yang memungkinkannya untuk tetap sepenuhnya anonim. Secara potensial, pengeksploitasi dapat dengan mudah mencuci dana curian dan tetap berada di bawah radar, dan kemudian memindahkannya ke fiat entah bagaimana.
iklan
Akhir yang baik
Beruntung bagi pengguna platform dan tim manajemen, peretas setuju untuk mengembalikan setengah dari dana yang dicuri hanya dengan satu syarat: jika keseluruhan cerita eksploitasi dianggap sebagai "hadiah bug", dia akan menghindari semua tuntutan hukum di masa mendatang.
Tampaknya 1467 ETH yang tersisa baru saja dikembalikan. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) Juni 27, 2022
Dia meminta CEO Karnaval untuk memberi pemilik alamat yang diakhiri dengan "B800a" hadiah 1,500 ETH sebagai imbalan atas dana yang dicuri. Pada dasarnya, platform membayar peretas hadiah bug $ 1.8 juta, yang dianggap lebih dari murah hati.
Sejak awal tahun, jumlah eksploitasi dan peretasan berbagai platform DeFi dan koleksi NFT menurun secara signifikan, kemungkinan besar karena penurunan popularitas kedua industri dan jatuhnya pasar cryptocurrency pada bulan Mei dan Juni.
Sumber: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how