Platform NFT XCarnival Diserang: Penjahat Menggunakan Token BAYC

Konten

• Platform pinjaman XCarnival NFT diserang melalui vektor yang tidak biasa
• Peretas mulai mengembalikan dana

Sesuai protokol mayat, badan keamanan telah "menentukan sementara" lokasi peretas, dan negosiasi sedang berlangsung.

Platform pinjaman XCarnival NFT diserang melalui vektor yang tidak biasa

Menurut pernyataan yang dibagikan oleh PeckShield, penyedia keamanan siber terkemuka untuk produk blockchain, platform pinjaman NFT XCarnival diserang.

1/ @XCarnival_Lab dieksploitasi dalam kebingungan txs (satu hack tx: https://t.co/LUcxSU9UQn),
mengarah ke keuntungan 3,087 ETH (~$3.8 juta) untuk peretas (Kehilangan protokol mungkin lebih besar). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) Juni 26, 2022

Penyerang berhasil mendapatkan pinjaman dalam jumlah tak terbatas menggunakan NFT profil tinggi yang sama (Bored Apes Yacht Club #5110). Protokol menjadi sasaran "kebingungan" transaksi yang diprakarsai oleh peretas.

Penjahat berhasil menghasilkan beberapa alamat kontrak, menjanjikan BAYC NFT sebagai jaminan, mendapatkan pinjaman, segera menarik NFT dan mengulangi prosedur ini beberapa kali.

Dengan demikian, peretas meminjam lebih dari $3.8 juta setara dengan Ethereum (ETH) tanpa perlu membayar kembali pinjaman tersebut. Ini menjadi mungkin karena kerentanan dalam basis kode modul pinjaman.

Peretas mulai mengembalikan dana

Tim segera melaporkan masalah ini ke keamanan siber dan lembaga penegak hukum. Awalnya, peretas ditawari hadiah $300,000 untuk memulihkan dana, tetapi kemudian jumlahnya meningkat menjadi $1.8 juta.

Kontrak utama serta fungsi deposit dan peminjaman ditutup untuk mencegah pengguna XCarnival kehilangan dana mereka.

Saat penyerang dilacak, negosiasi dimulai. Pada saat pers, dia telah mengembalikan 1,467 Ether (ETH) yang dicuri. Perlu juga dicatat bahwa dana awal untuk serangan tersebut ditransfer dari mixer Tornado Cash.

Seperti yang dicakup oleh U.Today sebelumnya, para peretas menyerang protokol peminjaman/pinjaman terdesentralisasi Inverse Finance awal bulan ini; kerugian yang setara dengan $ 1.25 juta.