Ethereum-ის დაკრედიტების პლატფორმა XCarnival დაადასტურა ცუდმა მსახიობმა მოიპარა 3.8 მილიონი დოლარი ან 3,087 ETH. ჯაჭვური უსაფრთხოების ფირმის Peck Shield-ის მოხსენების თანახმად, ჰაკერმა გამოიყენა დაუცველობა პროტოკოლის სმარტ კონტრაქტზე, ისესხდა ETH და შექმნა „მრავალჯერადი გირავნობის ბრძანებები BAYC-ის (Bored Ape Yacht Club NFT-ების) დაგირავებისთვის.
დაკავშირებული საკითხავი | მორგან კრიკი აცხადებს, რომ მზადაა უზრუნველყოს 250 მილიონი აშშ დოლარი FTX BlockFi-ის დახმარებისთვის
XCarnival ფუნქციონირებს როგორც შეუცვლელი ტოკენის (NFT) საკრედიტო აუზი. პლატფორმა საშუალებას აძლევს NFT მფლობელებს შეიტანონ თავიანთი აქტივები ლიკვიდობის სანაცვლოდ. ეს პროცესი მოიცავს სამ ჭკვიან კონტრაქტს: NFT მენეჯერს, P2Controllerს დაკრედიტების შეზღუდვების მართვისთვის და ფონდების შენახვას, როგორც განაცხადა სხვა უსაფრთხოების ფირმის Go+ Security.
ჰაკერმა იყიდა ნივთი 5110 პოპულარული Bored Ape Yacht Club NFT კოლექციიდან OpenSea-ზე. მოგვიანებით, მან ეს აქტივი ჩადო XCarnival-ზე და ჩაატარა თავდასხმა „იგივე NFT სესხის მისაღებად“.
სხვა სიტყვებით რომ ვთქვათ, თავდამსხმელმა შეძლო დაეპირებინა NFT, ისესხა ETH და შემდეგ ამოიღო NFT სესხის დაბრუნების გარეშე. ცუდმა მსახიობმა ეს პროცესი რამდენჯერმე დაასრულა, სანამ აუზი არ დაიშალა.
Go+ Security-მა განმარტა, რომ ჰაკერმა შექმნა სამაგისტრო ჭკვიანი კონტრაქტი და რამდენიმე „მონის“ ჭკვიანი კონტრაქტი შეტევის განსახორციელებლად:
შემდეგ Slave 5338-მა გაიყვანა NFT და გაუგზავნა ის Master-ს, რომელმაც შემდეგ გაიმეორა ეს პროცესი სხვა Slaves-თან ერთად. ამ გზით მათ შექმნეს მრავალი შეკვეთის ID, რომელიც მოგვიანებით შეიძლება გამოყენებულ იქნას როგორც სესხის სერთიფიკატი. მაგრამ შეფერხებულ xNFT კონტრაქტს არ გაუუქმებია რწმუნებათა სიგელის გატანის შემდეგ.
XCarnival's ოპერაცია ზემოთ ნახსენები გონიერი კონტრაქტების დაუცველობით, რაც საშუალებას აძლევს შეტევას, თუ მომხმარებელი დარჩება გარკვეულ ფარგლებში. Go+ Security დაემატა შეტევას და ჭკვიანი კონტრაქტის დაუცველობას: „გირაო კვლავ ძალაშია გატანის შემდეგ. ეს არის ძალიან მარტივი და გულუბრყვილო შეცდომა კონტრაქტის განხორციელებაში. ”
წარმატებული შეტევის ფონზე, Ethereum-ზე დაფუძნებულმა NFT დაკრედიტების პროტოკოლმა გადაწყვიტა ჰაკერს გარიგება შესთავაზოს.
Ethereum პლატფორმა დებს გარიგებებს თავის თავდამსხმელთან
მისი ოფიციალური Twitter ანგარიშის თანახმად, XCarnival-მა ჰაკერს შესთავაზა 1,500 ETH ან 1.8 მილიონი დოლარის ოდენობის პრემია. მოპარული სახსრების ნახევარი. თავდამსხმელს მხოლოდ მეორე ნახევრის დაბრუნება დასჭირდა და მათ ფულის შენახვა და სამართლებრივი შედეგები არ დაზარალდნენ.
პლატფორმის უკან მყოფმა გუნდმა დაადასტურა, რომ ჰაკერი დათანხმდა პირობებს. მოპარული სახსრების ნახევარი აუზს დაუბრუნდა. Ethereum-ის დაკრედიტების პლატფორმა აცხადებს, რომ „უსაფრთხოების სააგენტოებმა წინასწარ განსაზღვრეს ჰაკერების გეოგრაფიული მდებარეობა“.
როგორც ჩანს, ეს განცხადება მიანიშნებს თავდამსხმელისთვის შესაძლო იურიდიულ შედეგებზე, მაგრამ ამ პროექტის უკან მყოფი გუნდი ჯერ კიდევ არ აწვდის დამატებით ინფორმაციას.
7/8 თანხები დაბრუნდაhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) ივნისი 27, 2022
ეს არ არის პირველი შემთხვევა, როდესაც ჰაკერი თანხმდება მოპარული თანხების ნაწილის ან სრული ოდენობის დაბრუნებაზე. ზოგიერთი ჰაკერი თავს ესხმის დეცენტრალიზებულ ფინანსების (DeFi) პლატფორმებს და ხშირად მძევლად ინახავდა ფულს, სანამ არ მიიღებდნენ გადახდას, რასაც ისინი „მომსახურებად“ თვლიდნენ. სხვა პროექტებს ნაკლებად გაუმართლათ და იხდიან საბოლოო ფასს.
დაკავშირებული საკითხავი | Harmony Dangles $1 მილიონი ჯილდო 100 მილიონი დოლარის მოპარული სახსრების დაბრუნებისთვის - საკმარისია?
წერის მომენტში, Ethereum (ETH) ვაჭრობს 1,180 დოლარად, ბოლო 3 საათის განმავლობაში 24%-იანი ზარალით.
წყარო: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/