За словами дослідника мережевої безпеки та співзасновника ZenGo Тала Беері, хакер, який у неділю, 26 червня, взломав систему кредитного NFT-пулу XCarnival та витянув звідти 3087 ETH (3,8 мільйона доларів), повернув половину коштів команді протоколу.
Як кредитний NFT-пул, XCarnival (XCV) дозволяє користувачам позичати кошти, використовуючи свої предмети колекціонування як заставу для кредитів. У неділю у XCarnival стався інцидент з безпекою, внаслідок якого хакер зміг вивести з платформи $3,8 млн у ETH.
“Основною проблемою була вразливість, яка дозволяла зловмиснику брати кредити кілька разів під одне й те саме забезпечення NFT”, – повідомляє Беєрі.
Хакер вніс один NFT, Bored Ape #5110, як заставу для отримання кредиту. Зазвичай NFT “нудьгуюча мавпа”, яка використовується як застава, повинна бути заблокована протоколом доти, доки не відбудеться погашення кредиту. Однак хакер зміг зняти заставу Bored Ape, не повертаючи кредиту та використовуючи його для отримання іншого кредиту. Хакер повторив цю дію кілька разів, у результаті з протоколу було виведено 3087 ETH.
XCarnival зв’язався з хакером після інциденту із закликом повернути кошти. Кредитний NFT-пул спочатку пропонував винагороду у розмірі $300 000 в обмін на вкрадені кошти. Потім XCarnival збільшив свою пропозицію до половини вкраденої суми, і хакер цю пропозицію прийняв.
На момент публікації в хакерському гаманці залишалося 1500 ETH ($1,8 млн).
NFT-кредитор також пообіцяв хакеру не звертатись до жодних правоохоронних органів, якщо той поверне половину вкрадених коштів.
Отримай до 5000 USDT за реєстрацію, депозит і торгівлю на біржі Bybit!
Хочете отримувати свіжі новини по темі криптовалют в месенджер? Підписуйтеся на наш Telegram!
