Platform pinjaman Ethereum XCarnival dikonfirmasi aktor jahat mencuri $3.8 juta atau 3,087 ETH. Menurut laporan dari perusahaan keamanan on-chain Peck Shield, seorang peretas mengeksploitasi kerentanan pada kontrak pintar protokol dengan meminjam ETH dan membuat "beberapa perintah janji untuk menjanjikan BAYC (Bored Ape Yacht Club NFTs) berkali-kali".
Bacaan Terkait | Morgan Creek Dikatakan Dalam Tawaran Untuk Mengamankan $250-M Untuk Melawan FTX BlockFi Bailout
XCarnival beroperasi sebagai kumpulan pinjaman non-fungible token (NFT). Platform ini memungkinkan pemegang NFT untuk menyimpan aset mereka dengan imbalan likuiditas. Proses ini melibatkan tiga kontrak cerdas: manajer NFT, P2Controller untuk mengelola pembatasan pinjaman, dan penyimpanan dana, sebagai menyatakan oleh perusahaan keamanan lain Go+ Security.
Peretas membeli item 5110 dari koleksi NFT Bored Ape Yacht Club yang populer di OpenSea. Kemudian, dia menyimpan aset ini di XCarnival dan melakukan serangan untuk "menggunakan NFT yang sama untuk meminjam".
Dengan kata lain, penyerang dapat menjaminkan NFT, meminjam ETH, dan kemudian menghapus NFT tanpa membayar kembali pinjaman tersebut. Aktor jahat menyelesaikan proses ini beberapa kali hingga kolam terkuras.
Go+ Security menjelaskan bahwa peretas membuat kontrak pintar Master dan beberapa kontrak pintar "budak" untuk melakukan serangan:
Kemudian Slave 5338 menarik NFT dan mengirimkannya kembali ke Master, yang kemudian mengulangi proses ini dengan Slave lainnya. Dengan cara ini mereka membuat banyak orderID, yang nantinya dapat digunakan sebagai kredensial pinjaman. Tetapi kontrak xNFT yang disadap tidak mencabut kredensial setelah penarikan.
XCarnival's dioperasikan dengan kerentanan pada kontrak pintarnya, yang disebutkan di atas, yang memungkinkan serangan jika pengguna tetap dalam batas tertentu. Go+ Security menambahkan serangan dan kerentanan kontrak pintar: “Agunan masih berlaku setelah penarikan. Ini adalah bug yang sangat sederhana & naif dalam implementasi kontrak.”
Mengingat serangan yang berhasil, protokol peminjaman NFT berbasis Ethereum memutuskan untuk menawarkan kesepakatan kepada peretas.
Platform Ethereum Membuat Kesepakatan Dengan Penyerangnya
Menurut akun Twitter resminya, XCarnival menawarkan kepada peretas hadiah 1,500 ETH atau $ 1.8 juta. Setengah dari dana yang dicuri. Penyerang hanya perlu mengembalikan setengah lainnya dan mereka harus menyimpan uangnya dan tidak menderita konsekuensi hukum.
Tim di belakang platform mengkonfirmasi bahwa peretas menyetujui persyaratan tersebut. Setengah dari dana yang dicuri dikembalikan ke kolam. Platform pinjaman Ethereum mengklaim “agen keamanan telah secara tentatif menentukan lokasi geografis peretas”.
Pernyataan ini tampaknya mengisyaratkan kemungkinan konsekuensi hukum bagi penyerang, tetapi tim di balik proyek ini belum memberikan informasi lebih lanjut.
7/8 Dana dikembalikanhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Juni 27, 2022
Ini bukan pertama kalinya seorang peretas setuju untuk mengembalikan sebagian atau seluruh jumlah dana yang dicuri. Beberapa peretas menyerang platform keuangan terdesentralisasi (DeFi) dan sering menyandera uang sampai mereka menerima pembayaran untuk apa yang mereka anggap sebagai "layanan". Proyek lain kurang beruntung dan membayar harga tertinggi.
Bacaan Terkait | Harmony Menggantung Hadiah $1M Untuk Pengembalian Dana $100M yang Dicuri – Apakah Cukup?
Pada saat penulisan, Ethereum (ETH) diperdagangkan pada $1,180 dengan kerugian 3% dalam 24 jam terakhir.
Sumber: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/