Plateforme de prêt Ethereum XCarnival confirmé un mauvais acteur a volé 3.8 millions de dollars ou 3,087 XNUMX ETH. Selon un rapport de la société de sécurité en chaîne Peck Shield, un pirate informatique a exploité une vulnérabilité sur le contrat intelligent du protocole en empruntant ETH et en créant « plusieurs ordres de gage pour engager BAYC (Bored Ape Yacht Club NFT) à plusieurs reprises ».
Lecture connexe | Morgan Creek serait en lice pour obtenir 250 millions de dollars pour contrer le renflouement de FTX BlockFi
XCarnival fonctionne comme un pool de prêt de jetons non fongibles (NFT). La plateforme permet aux détenteurs de NFT de déposer leurs actifs en échange de liquidités. Ce processus implique trois contrats intelligents : un gestionnaire NFT, un P2Controller pour gérer les restrictions de prêt et le stockage des fonds, comme A déclaré par une autre société de sécurité Go+ Security.
Le pirate a acheté l'article 5110 de la populaire collection Bored Ape Yacht Club NFT sur OpenSea. Plus tard, il a déposé cet actif sur XCarnival et a mené une attaque pour "utiliser le même NFT pour emprunter".
En d'autres termes, l'attaquant a pu mettre en gage le NFT, emprunter des ETH, puis retirer le NFT sans rembourser le prêt. Le mauvais acteur a effectué ce processus plusieurs fois jusqu'à ce que la piscine soit vidée.
Go+ Security a expliqué que le pirate a créé un contrat intelligent maître et plusieurs contrats intelligents « esclaves » pour mener l'attaque :
Ensuite, l'esclave 5338 a retiré le NFT et l'a renvoyé au maître, qui a ensuite répété ce processus avec d'autres esclaves. De cette façon, ils ont créé de nombreux ID de commande, qui peuvent ensuite être utilisés comme identifiants de prêt. Mais le contrat xNFT buggé n'a pas révoqué les informations d'identification après le retrait.
XCarnival's réalisés avec une vulnérabilité sur ses contrats intelligents, mentionnés ci-dessus, qui permettent l'attaque si l'utilisateur reste dans un certain. Go+ Security a ajouté sur l'attaque et la vulnérabilité du contrat intelligent : "La garantie est toujours valable après le retrait. Il s'agit d'un bogue très simple et naïf dans la mise en œuvre des contrats. »
À la lumière de l'attaque réussie, le protocole de prêt NFT basé sur Ethereum a décidé de proposer un accord au pirate.
La plate-forme Ethereum conclut des accords avec son attaquant
Selon son compte Twitter officiel, le XCarnival a offert au pirate une prime de 1,500 1.8 ETH ou XNUMX million de dollars. La moitié des fonds volés. L'attaquant n'avait qu'à rendre l'autre moitié et il devait garder l'argent sans subir de conséquences juridiques.
L'équipe derrière la plate-forme a confirmé que le pirate avait accepté les conditions. La moitié des fonds volés ont été restitués au pool. La plate-forme de prêt Ethereum affirme que "les agences de sécurité ont provisoirement déterminé l'emplacement géographique du pirate".
Cette déclaration semble faire allusion à d'éventuelles conséquences juridiques pour l'attaquant, mais l'équipe derrière ce projet n'a pas encore fourni plus d'informations.
7/8 Fonds retournéshttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
– Tal Be’ery (@TalBeerySec) Le 27 juin 2022
Ce n'est pas la première fois qu'un pirate accepte de restituer une partie ou la totalité des fonds volés. Certains pirates attaquent les plateformes de financement décentralisé (DeFi) et tiennent souvent l'argent en otage jusqu'à ce qu'ils reçoivent le paiement de ce qu'ils considèrent comme un « service ». D'autres projets ont moins de chance et paient le prix ultime.
Lecture connexe | Harmony Dangles Récompense de 1 million de dollars pour le retour de fonds volés de 100 millions de dollars - est-ce suffisant?
Au moment de la rédaction, Ethereum (ETH) se négocie à 1,180 3 $ avec une perte de 24 % au cours des dernières XNUMX heures.
Source : https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/