Penggodam yang mengeksploitasi kumpulan pinjaman NFT XCarnival untuk 3,087 ETH ($3.8 juta) telah mengembalikan separuh daripada rampasan, mengikut kepada penyelidik keselamatan dalam rantaian dan pengasas bersama ZenGo Tal Be'ery.
Sebagai kumpulan pinjaman NFT, XCarnival membolehkan pengguna meminjam dana menggunakan koleksi mereka sebagai cagaran untuk pinjaman. XCarnival mengalami insiden keselamatan pada hari Ahad yang menyaksikan pengeksploitasi dapat menghabiskan $3.8 juta dalam ETH dari platform.
"Isu teras ialah kelemahan yang membenarkan penyerang meminjam beberapa kali terhadap cagaran NFT yang sama," kata Be'ery kepada The Block.
Penggodam itu mendepositkan satu NFT, Bored Ape #5110, sebagai cagaran untuk meminjam dana. Kebiasaannya, Kera Bosan yang digunakan sebagai cagaran harus dikunci oleh protokol sehingga pembayaran balik pinjaman berlaku. Penggodam itu, bagaimanapun, dapat menarik balik cagaran Beruk Bosan tanpa membayar balik pinjaman dan menggunakannya untuk mengambil pinjaman lain. Tindakan ini diulang beberapa kali, menghabiskan 3,087 ETH daripada protokol.
XCarnival menghubungi penggodam selepas insiden itu melalui mesej dalam rantaian yang meminta pemulangan dana. Kumpulan pinjaman NFT pada mulanya menawarkan hadiah $300,000 sebagai pertukaran untuk dana yang dicuri. XCarnival kemudian meningkatkan tawarannya kepada separuh daripada jumlah yang dicuri, yang diwajibkan oleh penggodam.
Dompet penggodam masih mempunyai 1,500 ETH ($1.8 juta) pada masa penerbitan. Baki 120 ETH, yang telah dikeluarkan daripada Tornado Cash untuk melaksanakan eksploitasi, telah dikembalikan.
Pemberi pinjaman NFT juga berjanji tidak akan meneruskan sebarang tindakan penguatkuasaan undang-undang terhadap penggodam jika mereka memulangkan separuh daripada dana yang dicuri.
Ia menjadi satu kejadian yang popular untuk projek menawarkan hadiah pepijat kepada penggodam yang bertanggungjawab untuk mencuri daripadanya. Sebagai contoh, ini berlaku kepada pengeksploitasi yang mencuri 20 juta token Optimisme daripada Wintermute pada awal bulan Jun dan seterusnya memulangkan 17 juta syiling tersebut, dengan kedua-dua pihak memanggilnya genap.
Harmony juga baru-baru ini menawarkan hadiah $1 juta untuk pemulangan $100 juta yang telah dicuri daripada protokol jambatan Horizon pada 23 Jun. Tawaran Harmony juga termasuk janji untuk tidak menyokong tuduhan jenayah terhadap penggodam.
© 2022 The Block Crypto, Inc. Hak Cipta Terpelihara. Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau lain-lain.
Sumber: https://www.theblock.co/post/154299/hacker-returns-half-of-the-3-8-million-they-stole-from-nft-lender-xcarnival?utm_source=rss&utm_medium=rss