Platforma e huadhënies Ethereum XCarnival i konfirmuar një aktor i keq vodhi 3.8 milionë dollarë ose 3,087 ETH. Sipas një raporti nga firma e sigurisë në zinxhir Peck Shield, një haker ka shfrytëzuar një dobësi në kontratën inteligjente të protokollit duke huazuar ETH dhe duke krijuar "urdhra të shumëfishta pengu për të premtuar BAYC (Bored Ape Yacht Club NFT) shumë herë".
Leximi i lidhur | Morgan Creek tha se do të ishte në përpjekje për të siguruar 250-milion dollarë për të kundërshtuar shpëtimin e FTX BlockFi
XCarnival funksionon si një pishinë huadhënëse e pandryshueshme (NFT). Platforma u mundëson mbajtësve të NFT të depozitojnë aktivet e tyre në këmbim të likuiditetit. Ky proces përfshin tre kontrata inteligjente: një menaxher NFT, një P2Controller për të menaxhuar kufizimet e huadhënies dhe ruajtjen e fondeve, si deklaroi nga një firmë tjetër sigurie Go+ Security.
Hakeri bleu artikullin 5110 nga koleksioni popullor Bored Ape Yacht Club NFT në OpenSea. Më vonë, ai e depozitoi këtë aset në XCarnival dhe kreu një sulm për të "përdorur të njëjtën NFT për huamarrje".
Me fjalë të tjera, sulmuesi ishte në gjendje të jepte peng NFT-në, të merrte hua ETH dhe më pas të hiqte NFT-në pa e kthyer huanë. Aktori i keq e përfundoi këtë proces disa herë derisa pishina u kullua.
Go+ Security shpjegoi se hakeri krijoi një kontratë inteligjente Master dhe disa kontrata të zgjuara "skllevër" për të kryer sulmin:
Më pas Slave 5338 e tërhoqi NFT-në dhe ia ktheu Masterit, i cili më pas e përsëriti këtë proces me skllevër të tjerë. Në këtë mënyrë ata krijuan shumë porosi ID, të cilat më vonë mund të përdoren si kredenciale huazimi. Por kontrata xNFT e dëmtuar nuk e revokoi kredencialin pas tërheqjes.
XKarnavalet operohet me një cenueshmëri në kontratat e tij inteligjente, të përmendura më sipër, të cilat mundësojnë sulmin nëse përdoruesi qëndron brenda një farë. Go+ Security shtoi për sulmin dhe dobësinë e kontratës inteligjente: “Kolaterali është ende i vlefshëm pas tërheqjes. Ky është një gabim shumë i thjeshtë dhe naiv në zbatimin e kontratës.”
Në dritën e sulmit të suksesshëm, protokolli i huadhënies NFT i bazuar në Ethereum vendosi t'i ofrojë hakerit një marrëveshje.
Platforma Ethereum bën marrëveshje me sulmuesin e saj
Sipas llogarisë së tij zyrtare në Twitter, XCarnival i ofroi hakerit një shpërblim prej 1,500 ETH ose 1.8 milionë dollarë. Gjysma e fondeve të vjedhura. Sulmuesit iu desh të kthente vetëm gjysmën tjetër dhe ata i mbajtën paratë dhe nuk pësuan asnjë pasojë ligjore.
Ekipi që qëndron pas platformës konfirmoi se hakeri ishte dakord me kushtet. Gjysma e fondeve të vjedhura u kthyen në pishinë. Platforma e huadhënies Ethereum pretendon se "agjencitë e sigurisë kanë përcaktuar paraprakisht vendndodhjen gjeografike të hakerit".
Kjo deklaratë duket se lë të kuptohet për pasojat e mundshme ligjore për sulmuesin, por ekipi që qëndron pas këtij projekti ende nuk ka dhënë më shumë informacion.
7/8 Fondet e kthyerahttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Qershor 27, 2022
Kjo nuk është hera e parë që një haker pranon të kthejë një pjesë ose shumën e plotë të fondeve të vjedhura. Disa hakerë sulmojnë platformat e decentralizuara të financave (DeFi) dhe shpesh i mbanin peng paratë derisa të merrnin pagesën për atë që ata e konsideronin si një "shërbim". Projektet e tjera janë më pak me fat dhe paguajnë çmimin përfundimtar.
Leximi i lidhur | Harmonia varet nga 1 milion dollarë shpërblim për kthimin e fondeve të vjedhura prej 100 milion dollarësh - A është e mjaftueshme?
Në kohën e shkrimit, Ethereum (ETH) tregtohet me 1,180 dollarë me një humbje prej 3% në 24 orët e fundit.
Burimi: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/