NFT პლატფორმა XCarnival თავდასხმის ქვეშ: მავნებლები იყენებენ BAYC ტოკენს

შინაარსი

• XCarnival NFT დაკრედიტების პლატფორმა თავს დაესხნენ უჩვეულო ვექტორის მეშვეობით
• ჰაკერებმა დაიწყეს სახსრების დაბრუნება

პროტოკოლის მიხედვით პოსტი mortemუშიშროების უწყებებმა უკვე „პირობითად დაადგინეს“ ჰაკერების ადგილმდებარეობა და მოლაპარაკებები მიმდინარეობს.

XCarnival NFT დაკრედიტების პლატფორმა თავს დაესხნენ უჩვეულო ვექტორის მეშვეობით

PeckShield-ის მიერ გაზიარებული განცხადების თანახმად, ბლოკჩეინის პროდუქტების კიბერუსაფრთხოების წამყვანი პროვაიდერი, NFT დაკრედიტების პლატფორმა XCarnival თავს დაესხნენ.

1/ @XCarnival_Lab იქნა ექსპლუატირებული txs-ის მოზღვავებაში (ერთი hack tx: https://t.co/LUcxSU9UQn),
იწვევს ჰაკერისთვის 3,087 ETH (~ 3.8 მილიონი აშშ დოლარი) მოგებას (პროტოკოლის დანაკარგი შეიძლება იყოს უფრო დიდი). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) ივნისი 26, 2022

თავდამსხმელებმა მოახერხეს უსასრულო რაოდენობის სესხის აღება იგივე გახმაურებული NFT-ის გამოყენებით (Bored Apes Yacht Club #5110). პროტოკოლი მიზანმიმართული იყო ჰაკერების მიერ ინიცირებული ტრანზაქციების "აურზაურით".

Malefactors-მა მოახერხა მრავალი კონტრაქტის მისამართის გენერირება, BAYC NFT-ის გირაო დადება, სესხის აღება, NFT-ის დაუყოვნებლივ გატანა და ეს პროცედურა რამდენჯერმე გაიმეორა.

როგორც ასეთი, ჰაკერებმა ისესხეს 3.8 მილიონ დოლარზე მეტი Ethereum (ETH) ექვივალენტი, სესხის დაბრუნების საჭიროების გარეშე. ეს შესაძლებელი გახდა სესხის აღების მოდულის კოდების ბაზაში დაუცველობის გამო.

ჰაკერებმა დაიწყეს სახსრების დაბრუნება

გუნდმა დაუყოვნებლივ შეატყობინა ეს საკითხი კიბერუსაფრთხოების და სამართალდამცავ ორგანოებს. თავდაპირველად, ჰაკერს შესთავაზეს 300,000 1.8 დოლარის ოდენობის პრემია თანხების დასაბრუნებლად, მაგრამ შემდეგ თანხა გაიზარდა XNUMX მილიონ დოლარამდე.

ძირითადი კონტრაქტი, ასევე დეპოზიტისა და სესხის აღების ფუნქციები დაიხურა, რათა XCarnival-ის მომხმარებლებს არ დაეკარგათ სახსრები.

როგორც კი თავდამსხმელს თვალყურს ადევნებდნენ, მოლაპარაკება დაიწყო. პრესის დროისთვის მან დააბრუნა მოპარული 1,467 ეთერი (ETH). აქვე უნდა აღინიშნოს, რომ თავდასხმისთვის პირველადი თანხები Tornado Cash მიქსერიდან გადაირიცხა.

როგორც ადრე U.Today-მა გააშუქა, ჰაკერები თავს დაესხნენ Inverse Finance-ის დეცენტრალიზებულ დაკრედიტების/სესხების პროტოკოლს ამ თვის დასაწყისში; ზარალმა 1.25 მილიონი დოლარის ექვივალენტი დაფარა.