כתוצאה מהמשא ומתן, האקרים כבר החזירו חלק גדול מהנכסים שהתרוקנו מהעתודה של XCarnival
לפי הפרוטוקול שלאחר המוות, סוכנויות האבטחה כבר "קבעו באופן טנטטיבי" את מיקומם של ההאקרים, והמשא ומתן מתנהל.
פלטפורמת ההלוואות XCarnival NFT הותקפה באמצעות וקטור יוצא דופן
לפי ההצהרה ששיתפה PeckShield, ספקית אבטחת סייבר מובילה למוצרי בלוקצ'יין, פלטפורמת ההלוואות NFT XCarnival הותקפה.
1/ @XCarnival_Lab נוצל בשטף של txs (פריצה אחת tx: https://t.co/LUcxSU9UQn),
מה שמוביל לרווח של 3,087 ETH (~3.8 מיליון דולר) עבור ההאקר (אובדן הפרוטוקול עשוי להיות גדול יותר). pic.twitter.com/mmGw5PQfbt- PeckShield Inc. (@peckshield) יוני 26, 2022
התוקפים הצליחו לקבל אינסוף הלוואות באמצעות אותו NFT בעל פרופיל גבוה (Bored Apes Yacht Club #5110). הפרוטוקול היה ממוקד על ידי "שטף" של עסקאות שיזמו האקרים.
רשעים הצליחו ליצור מספר כתובות חוזים, לשעבד את BAYC NFT כבטוחה, לקבל הלוואה, למשוך מיד NFT ולחזור על הליך זה מספר פעמים.
ככזה, האקרים ליוו מעל 3.8 מיליון דולר בשווי ערך Ethereum (ETH) ללא צורך להחזיר את ההלוואה. זה התאפשר עקב הפגיעות בבסיס הקוד של מודול ההשאלה.
האקרים החלו להחזיר כספים
הצוות דיווח על הבעיה מיידית לרשויות אבטחת סייבר ורשויות אכיפת החוק. בתחילה הוצע להאקר פרס של 300,000 דולר כדי להחזיר את הכספים, אך לאחר מכן הוגדל הסכום ל-1.8 מיליון דולר.
החוזה הראשי כמו גם פונקציות ההפקדה וההשאלה נסגרו כדי למנוע ממשתמשי XCarnival לאבד את הכספים שלהם.
כאשר עוקב אחר התוקף, החל המשא ומתן. בזמן הלחיצה, הוא/היא החזירו 1,467 אתרים (ETH) שנגנבו. עוד יצוין כי כספים ראשוניים לתקיפה הועברו מתוך מערבל טורנדו קאש.
כפי שסוקרה על ידי U.Today בעבר, ההאקרים תקפו את פרוטוקול ההלוואות/הלוואות המבוזר של Inverse Finance מוקדם יותר החודש; ההפסדים האפילו על 1.25 מיליון דולר שווה ערך.
מקור: https://u.today/nft-platform-xcarnival-under-attack-malefactors-use-bayc-token