Trending
  • XCarnival, một pool cho vay NFT, đã mất 3.087 ETH khi bị hack vào Chủ nhật.
  • Hacker chịu trách nhiệm đã trả lại một nửa số tiền khi giao thức đã hứa sẽ không theo đuổi hành động thực thi pháp luật.

Theo nhà nghiên cứu bảo mật onchain và đồng sáng lập ZenGo, Tal Be’ery, hacker đã khai thác quỹ cho vay NFT và lấy đi 3.087 ETH (3,8 triệu đô la) hiện đã trả lại một nửa số tiền.

Là một tổ hợp cho vay NFT, XCarnival cho phép người dùng vay tiền bằng cách sử dụng đồ sưu tầm của họ làm tài sản thế chấp cho các khoản vay. XCarnival đã gặp phải một sự cố bảo mật vào Chủ nhật khiến hacker đã có thể rút 3,8 triệu đô la ETH khỏi nền tảng.

“Vấn đề cốt lõi là một lỗ hổng cho phép kẻ tấn công vay nhiều lần đối với cùng một tài sản thế chấp NFT,” Be’ery nói.

Hacker đã gửi một NFT, Bored Ape #5110, làm tài sản thế chấp để vay tiền. Thông thường, Bored Ape được sử dụng làm tài sản thế chấp được giao thức khóa lại cho đến khi hoàn trả khoản vay. Tuy nhiên, hacker đã có thể rút tài sản thế chấp của Bored Ape mà không cần trả lại khoản vay và sử dụng nó để thực hiện một khoản vay khác. Hành động này được lặp lại nhiều lần, đã khiến hacker rút được ​​3.087 ETH khỏi giao thức.

XCarnival đã liên hệ với hacker sau vụ việc thông qua các tin nhắn on-chain kêu gọi hoàn lại tiền. Nhóm cho vay NFT ban đầu đưa ra khoản tiền thưởng 300.000 đô la để đổi lấy số tiền bị đánh cắp. XCarnival sau đó đã tăng đề nghị của mình lên một nửa số tiền bị đánh cắp, là điều kiện bắt buộc mà hacker này đề ra.

của hacker hiện vẫn còn giữ 1.500 ETH (1,8 triệu đô la) tính đến thời điểm viết bài. 120 ETH còn lại, được rút từ Tornado Cash để thực hiện việc khai thác, đã được hoàn trả lại.

Giao thức cho vay NFT cũng hứa sẽ không theo đuổi bất kỳ hành động thực thi pháp luật nào chống lại hacker nếu họ trả lại một nửa số tiền bị đánh cắp.

Việc các dự án cung cấp tiền thưởng lỗi cho các hacker chịu trách nhiệm đánh cắp chúng đang trở nên phổ biến. Ví dụ: điều này đã xảy ra với hacker đã đánh cắp 20 triệu mã thông báo Optimism từ Wintermute vào đầu tháng 6 và sau đó trả lại 17 triệu đồng trong số đó.

Harmony gần đây cũng đề nghị một khoản tiền thưởng trị giá 1 triệu đô la để trả lại 100 triệu đô la đã bị đánh cắp từ giao thức cầu Horizon vào ngày 23 tháng 6. Lời đề nghị của Harmony cũng bao gồm lời hứa không theo đuổi các buộc hình sự chống lại hacker.

 

Nguồn: theblockcrypto

bài viết liên quan