Platform pinjaman Ethereum XCarnivaldikonfirmasi aktor jahat mencuri $3,8 juta atau 3.087 ETH. Menurut sebuah laporan dari perusahaan keamanan on-chain Peck Shield, seorang peretas mengeksploitasi kerentanan pada kontrak pintar protokol dengan meminjam ETH dan membuat "beberapa perintah janji untuk menjaminkan BAYC (Bored Ape Yacht Club NFTs) berkali-kali".
Bacaan Terkait | Morgan Creek Dikatakan Dalam Tawaran Untuk Mengamankan $ 250-Jt Untuk Melawan FTX BlockFi Bailout
XCarnival beroperasi sebagai kumpulan pinjaman non-fungible token (NFT). Platform ini memungkinkan pemegang NFT untuk menyetor aset mereka dengan imbalan likuiditas. Proses ini melibatkan tiga kontrak cerdas: manajer NFT, P2Controller untuk mengelola batasan pinjaman, dan penyimpanan dana, sepertidinyatakan oleh perusahaan keamanan lain Go+ Security.
Peretas membeli item 5110 dari koleksi NFT Bored Ape Yacht Club yang populer di OpenSea. Kemudian, dia menyimpan aset ini di XCarnival dan melakukan serangan untuk "menggunakan NFT yang sama untuk meminjam".
Dengan kata lain, penyerang dapat menjaminkan NFT, meminjam ETH, dan kemudian menghapus NFT tanpa membayar kembali pinjaman tersebut. Pelaku jahat menyelesaikan proses ini beberapa kali hingga kolam terkuras.
Go+ Security menjelaskan bahwa peretas membuat kontrak pintar Master dan beberapa kontrak pintar "budak" untuk melakukan serangan:
Kemudian Budak 5338 menarik NFT dan mengirimkannya kembali ke Guru, yang kemudian mengulangi proses ini dengan Budak lain. Dengan cara ini mereka membuat banyak ID pesanan, yang nantinya dapat digunakan sebagai kredensial peminjaman. Tetapi kontrak xNFT yang disadap tidak mencabut kredensial setelah penarikan.
XCarnivaldioperasikan dengan kerentanan pada kontrak cerdasnya, yang disebutkan di atas, yang memungkinkan serangan jika pengguna tetap berada dalam batas tertentu. Go+ Security menambahkan serangan dan kerentanan smart contract: “Agunan masih berlaku setelah penarikan. Ini adalah aplikasi yang sangat sederhana & bug naif dalam implementasi kontrak.”
Mengingat serangan yang berhasil, protokol pinjaman NFT berbasis Ethereum memutuskan untuk menawarkan kesepakatan kepada peretas.
Menurut akun Twitter resminya, XCarnival menawarkan hadiah 1.500 ETH atau $1,8 juta kepada peretas. Setengah dari dana yang dicuri. Penyerang hanya perlu mengembalikan separuh lainnya dan mereka harus menyimpan uangnya dan tidak menanggung konsekuensi hukum.
Tim di belakang platform mengonfirmasi bahwa peretas menyetujui persyaratan tersebut. Setengah dari dana yang dicuri dikembalikan ke kolam. Platform pinjaman Ethereum mengklaim “agen keamanan telah secara tentatif menentukan lokasi geografis peretas”.
Pernyataan ini tampaknya mengisyaratkan kemungkinan konsekuensi hukum bagi penyerang, tetapi tim di balik proyek ini belum memberikan informasi lebih lanjut.
7/8 Dana dikembalikanhttps://t.co/oRwSsGgT6Upic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec)27 Juni 2022
Ini bukan pertama kalinya seorang peretas setuju untuk mengembalikan sebagian atau seluruh jumlah dana yang dicuri. Beberapa peretas menyerang platform keuangan terdesentralisasi (DeFi) dan sering menyandera uang sampai mereka menerima pembayaran untuk apa yang mereka anggap sebagai "layanan". Proyek lain kurang beruntung dan membayar harga tertinggi.
Bacaan Terkait | Harmony Menggantung Hadiah $1 Juta Untuk Pengembalian Dana Curian $100 Juta – Apakah Cukup?
Pada saat penulisan, Ethereum (ETH) diperdagangkan pada $1.180 dengan kerugian 3% dalam 24 jam terakhir.
The slowdown in US CPI inflation intensifies rate cut pricing, but several hawkish officials support the dollar. Gold fell first and then rebounded to reclaim $2410, while Bitcoin bulls surged past $67,000.
AlexThe U.S. court has announced that two Chinese nationals have been arrested and arraigned on charges of money laundering through shell companies involved in crypto investment fraud.
MiyukiSenate's bipartisan approval of H.J.Res. 109 challenges SEC's SAB 121, pushing President Biden to decide amidst political and industry pressures.
WeiliangBitcoin's price has solidified its position just above the crucial support level of $65,000, with cryptocurrency traders viewing its pattern as robust. Some even suggest that no significant corrections are expected soon and the price may continue to rise.
AlexThe USDT stablecoin continues to be entangled with illegal forex transactions, prompting Kraken to announce that it is evaluating the possibility of delisting European Tether pairs.
MiyukiCoinbase analysts are confident that an Ether spot ETF will be approved soon, with Ether surging to $3,126 at one point.
WeiliangWeb3 is still in its infancy, contending with critical challenges such as user-friendliness and infrastructure development. So will Web3 fail to realise its transformative potential and let Web2 continue its dominance?
CatherineVenezuela announced a cryptocurrency mining ban over the weekend, threatening to disconnect all domestic cryptocurrency mining farms from the national power grid.
AlexRecent resignations at OpenAI, including Chief Scientist Ilya Sutskever and Jan Leike from the "superalignment team," follow disagreements over prioritising safety amid the launch of GPT-4o. Concerns linger over OpenAI's shift towards profit and potential security risks in collaborations like Apple's iOS 18 update integrating OpenAI technology.
WeatherlyBitcoin approaches $69,000 with traders optimistic about continued gains, supported by favorable economic policies and strong ETF inflows.
Miyuki