Ethereum վարկավորման հարթակ XCarnival հաստատել վատ դերասանը գողացել է 3.8 միլիոն դոլար կամ 3,087 ETH: Համաձայն Peck Shield-ի շղթայական անվտանգության ընկերության զեկույցի, հաքերն օգտագործել է արձանագրության խելացի պայմանագրի խոցելիությունը՝ փոխառելով ETH և ստեղծելով «բազմաթիվ գրավական պատվերներ՝ բազմաթիվ անգամներ գրավելու BAYC (Bored Ape Yacht Club NFTs):
Առնչվող ընթերցում | Morgan Creek-ը պատրաստվում է 250 միլիոն դոլար ապահովել FTX BlockFi-ի օգնությանը հակազդելու համար
XCarnival-ը գործում է որպես չփոխարինելի նշան (NFT) վարկավորման լողավազան: Պլատֆորմը NFT սեփականատերերին հնարավորություն է տալիս ավանդ դնել իրենց ակտիվները իրացվելիության դիմաց: Այս գործընթացը ներառում է երեք խելացի պայմանագրեր՝ NFT մենեջեր, P2Controller՝ վարկավորման սահմանափակումները կառավարելու համար և ֆոնդի պահեստավորում, ինչպես ասել մեկ այլ Go+ Security անվտանգության ընկերության կողմից:
Հաքերը 5110 ապրանքը գնել է OpenSea-ում հայտնի Bored Ape Yacht Club NFT հավաքածուից։ Ավելի ուշ նա ավանդադրեց այս ակտիվը XCarnival-ին և հարձակում իրականացրեց՝ «օգտագործելու նույն NFT-ն փոխառության համար»:
Այլ կերպ ասած, հարձակվողը կարողացել է գրավ դնել NFT-ը, պարտքով ETH վերցրել, այնուհետև հեռացնել NFT-ը՝ առանց վարկը վերադարձնելու: Վատ դերասանը մի քանի անգամ ավարտեց այս գործընթացը, մինչև լողավազանը ցամաքեցվեց:
Go+ Security-ը բացատրել է, որ հաքերը ստեղծել է Master խելացի պայմանագիր և մի քանի «ստրուկների» խելացի պայմանագրեր՝ հարձակումն իրականացնելու համար.
Այնուհետև Slave 5338-ը հանեց NFT-ը և այն հետ ուղարկեց Master-ին, որն այնուհետև կրկնեց այս գործընթացը մյուս Slaves-ի հետ: Այս կերպ նրանք ստեղծեցին բազմաթիվ պատվերների ID-ներ, որոնք հետագայում կարող են օգտագործվել որպես վարկավորման հավատարմագրեր։ Սակայն սխալված xNFT պայմանագիրը չեղյալ չի համարել հավատարմագիրը հանելուց հետո:
XCarnival's գործել վերը նշված իր խելացի պայմանագրերի խոցելիությամբ, որոնք հնարավորություն են տալիս հարձակումը, եթե օգտատերը մնա որոշակի սահմաններում: Go+ Security-ն ավելացրել է հարձակման և խելացի պայմանագրի խոցելիությունը. Սա շատ պարզ և միամիտ սխալ է պայմանագրի իրականացման մեջ»:
Հաջող հարձակման լույսի ներքո Ethereum-ի վրա հիմնված NFT վարկավորման արձանագրությունը որոշեց հաքերին գործարք առաջարկել:
Ethereum պլատֆորմը գործարքներ է կնքում իր հարձակվողի հետ
Համաձայն Twitter-ի իր պաշտոնական էջի՝ XCarnival-ը հաքերին առաջարկել է 1,500 ETH կամ 1.8 միլիոն դոլար պարգև: Գողացված միջոցների կեսը. Հարձակվողին անհրաժեշտ էր միայն վերադարձնել մյուս կեսը, և նրանք կարողացան պահել գումարը և չկրել իրավական հետևանքներ:
Պլատֆորմի հետևում գտնվող թիմը հաստատել է, որ հաքերը համաձայնել է պայմաններին: Գողացված միջոցների կեսը վերադարձվել է լողավազան. Ethereum վարկավորման հարթակը պնդում է, որ «անվտանգության գործակալությունները փորձնականորեն որոշել են հաքերի աշխարհագրական դիրքը»:
Այս հայտարարությունը կարծես հուշում է հարձակվողի համար հնարավոր իրավական հետևանքների մասին, սակայն այս նախագծի ետևում գտնվող թիմը դեռևս պետք է լրացուցիչ տեղեկություններ տրամադրի:
7/8 Գումարները վերադարձվել ենhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Հունիսի 27, 2022
Սա առաջին դեպքը չէ, երբ հաքերը համաձայնվում է վերադարձնել գողացված միջոցների մի մասը կամ ամբողջ գումարը։ Որոշ հաքերներ հարձակվում են ապակենտրոնացված ֆինանսների (DeFi) հարթակների վրա և հաճախ այդ գումարները պատանդ են պահում այնքան ժամանակ, քանի դեռ չեն ստացել վճարում իրենց համարվող «ծառայության» համար: Այլ նախագծերն ավելի քիչ բախտավոր են և վճարում են վերջնական գինը:
Առնչվող ընթերցում | Հարմոնին կախված է 1 միլիոն դոլար պարգևից՝ 100 միլիոն դոլար գողացված միջոցները վերադարձնելու համար. դա բավարա՞ր է:
Գրելու պահին Ethereum-ը (ETH) վաճառվում է 1,180 դոլարով՝ վերջին 3 ժամվա ընթացքում 24% կորստով:
Աղբյուր՝ https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/