Bagaimana Platform Ethereum Ini Diserang Dan Membuat Urusan Dengan Penggodam

Platform pinjaman Ethereum XCarnival disahkan seorang pelakon jahat mencuri $3.8 juta atau 3,087 ETH. Menurut laporan daripada firma keselamatan dalam rantaian Peck Shield, seorang penggodam mengeksploitasi kelemahan pada kontrak pintar protokol dengan meminjam ETH dan mencipta "perintah ikrar berbilang untuk mencagarkan BAYC (Bored Ape Yacht Club NFTs) berkali-kali".

Bacaan Berkaitan | Morgan Creek Dikatakan Akan Dalam Bidaan Untuk Mendapatkan $250-J Untuk Menangani Penyelamat FTX BlockFi

XCarnival beroperasi sebagai kumpulan pinjaman token tidak boleh digunakan (NFT). Platform ini membolehkan pemegang NFT mendepositkan aset mereka sebagai pertukaran untuk kecairan. Proses ini melibatkan tiga kontrak pintar: pengurus NFT, P2Controller untuk menguruskan sekatan pinjaman, dan penyimpanan dana, sebagai dinyatakan oleh firma keselamatan lain Go+ Security.

Penggodam membeli item 5110 daripada koleksi NFT Kelab Yacht Bored Ape yang popular di OpenSea. Kemudian, dia mendepositkan aset ini pada XCarnival dan melakukan serangan untuk "menggunakan NFT yang sama untuk meminjam".

Dalam erti kata lain, penyerang dapat mencagarkan NFT, meminjam ETH, dan kemudian mengeluarkan NFT tanpa membayar balik pinjaman. Pelakon jahat itu menyelesaikan proses ini beberapa kali sehingga kolam itu dikeringkan.

Go+ Security menjelaskan bahawa penggodam mencipta kontrak pintar Master dan beberapa kontrak pintar "hamba" untuk melakukan serangan:

Kemudian Slave 5338 menarik balik NFT dan menghantarnya kembali kepada Master, yang kemudian mengulangi proses ini dengan Slaves lain. Dengan cara ini mereka mencipta banyak orderID, yang kemudiannya boleh digunakan sebagai bukti kelayakan pinjaman. Tetapi kontrak xNFT yang diserang tidak membatalkan kelayakan selepas menarik diri.

XCarnival dikendalikan dengan kelemahan pada kontrak pintarnya, yang dinyatakan di atas, yang membolehkan serangan jika pengguna kekal dalam tempoh tertentu. Go+ Security menambah pada serangan dan kelemahan kontrak pintar: “Cagaran masih sah selepas menarik diri. Ini adalah pepijat yang sangat mudah & naif dalam pelaksanaan kontrak.”

Memandangkan serangan yang berjaya, protokol pinjaman NFT berasaskan Ethereum memutuskan untuk menawarkan perjanjian penggodam.

Platform Ethereum Membuat Tawaran Dengan Penyerangnya

Menurut akaun Twitter rasminya, XCarnival menawarkan penggodam hadiah 1,500 ETH atau $1.8 juta. Separuh daripada dana yang dicuri. Penyerang hanya perlu memulangkan separuh lagi dan mereka perlu menyimpan wang itu dan tidak mengalami akibat undang-undang.

Pasukan di belakang platform mengesahkan bahawa penggodam bersetuju dengan terma. Separuh dana yang dicuri dikembalikan ke kolam. Platform pinjaman Ethereum mendakwa "agensi keselamatan telah menentukan secara tentatif lokasi geografi penggodam".

Kenyataan ini nampaknya membayangkan kemungkinan akibat undang-undang untuk penyerang, tetapi pasukan di sebalik projek ini masih belum memberikan maklumat lanjut.

Ini bukan kali pertama penggodam bersetuju untuk memulangkan sebahagian atau jumlah penuh dana yang dicuri. Sesetengah penggodam menyerang platform kewangan terdesentralisasi (DeFi) dan sering menahan wang tersebut sehingga mereka menerima bayaran untuk apa yang mereka anggap sebagai "perkhidmatan". Projek lain kurang bernasib baik dan membayar harga muktamad.

Bacaan Berkaitan | Harmony Menjuntai Ganjaran $1J Untuk Pemulangan $100J Dana Yang Dicuri – Adakah Ia Cukup?

Pada masa penulisan, Ethereum (ETH) berdagang pada $1,180 dengan kerugian 3% dalam 24 jam terakhir.

Ethereum ETH ETHUSD
ETH bergerak ke sisi pada carta 4 jam. Sumber: Paparan Dagangan ETHUSD

Sumber: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/