منصة إقراض الإيثريوم XCarnival مؤكد سرق ممثل سيء 3.8 مليون دولار أو 3,087 إيثيريوم. وفقًا لتقرير صادر عن شركة الأمن على السلسلة Peck Shield، استغل أحد المتسللين ثغرة أمنية في العقد الذكي للبروتوكول عن طريق اقتراض ETH وإنشاء "أوامر تعهد متعددة لتعهد BAYC (Bored Ape Yacht Club NFTs) عدة مرات".
القراءة ذات الصلة يُقال أن Morgan Creek سيكون في محاولة لتأمين 250 مليون دولار لمواجهة خطة FTX BlockFi الإنقاذ
تعمل XCarnival كمجمع إقراض رمزي غير قابل للاستبدال (NFT). تتيح المنصة لحاملي NFT إيداع أصولهم مقابل السيولة. تتضمن هذه العملية ثلاثة عقود ذكية: مدير NFT، وP2Controller لإدارة قيود الإقراض، وتخزين الأموال، كما ذكر بواسطة شركة أمنية أخرى Go+ Security.
اشترى المتسلل العنصر 5110 من مجموعة Bored Ape Yacht Club NFT الشهيرة على OpenSea. وفي وقت لاحق، قام بإيداع هذا الأصل في XCarnival وقام بهجوم "لاستخدام نفس NFT للاقتراض".
بمعنى آخر، كان المهاجم قادرًا على رهن NFT، واقتراض ETH، ثم إزالة NFT دون سداد القرض. أكمل الممثل السيئ هذه العملية عدة مرات حتى تم تجفيف البركة.
أوضح Go+ Security أن المتسلل أنشأ عقدًا ذكيًا رئيسيًا والعديد من العقود الذكية "العبيدية" لتنفيذ الهجوم:
ثم قام Slave 5338 بسحب NFT وأعاده إلى السيد، الذي كرر هذه العملية بعد ذلك مع العبيد الآخرين. وبهذه الطريقة، قاموا بإنشاء العديد من معرفات الطلب، والتي يمكن استخدامها لاحقًا كبيانات اعتماد للإقراض. لكن عقد xNFT الذي تم التنصت عليه لم يلغي بيانات الاعتماد بعد الانسحاب.
XCarnival تعمل مع وجود ثغرة أمنية في عقودها الذكية المذكورة أعلاه، والتي تمكن من الهجوم إذا بقي المستخدم ضمن نطاق معين. أضاف Go+ Security حول الهجوم وثغرة العقد الذكي: “لا تزال الضمانات صالحة بعد الانسحاب. هذا خطأ بسيط وساذج للغاية في تنفيذ العقد."
في ضوء الهجوم الناجح، قرر بروتوكول إقراض NFT القائم على Ethereum تقديم صفقة للهاكر.
منصة Ethereum تعقد صفقات مع مهاجمها
وفقًا لحسابها الرسمي على تويتر، عرضت XCarnival على المتسلل مكافأة قدرها 1,500 إيثريوم أو 1.8 مليون دولار. نصف الأموال المسروقة. كان على المهاجم فقط إعادة النصف الآخر وعليه الاحتفاظ بالمال دون التعرض لأي عواقب قانونية.
وأكد الفريق الذي يقف وراء المنصة أن المتسلل وافق على الشروط. تم إرجاع نصف الأموال المسروقة إلى المجمع. تدعي منصة الإقراض Ethereum أن "الوكالات الأمنية حددت مبدئيًا الموقع الجغرافي للهاكر".
ويبدو أن هذا البيان يشير إلى عواقب قانونية محتملة على المهاجم، لكن الفريق الذي يقف وراء هذا المشروع لم يقدم المزيد من المعلومات بعد.
7/8 تم إرجاع الأموالhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
- تل بيري (TalBeerySec) 27 حزيران، 2022
ليست هذه هي المرة الأولى التي يوافق فيها أحد المتسللين على إعادة جزء أو كامل المبلغ من الأموال المسروقة. يهاجم بعض المتسللين منصات التمويل اللامركزي (DeFi) وغالبًا ما يحتجزون الأموال كرهينة حتى يتلقوا الدفع مقابل ما يعتبرونه "خدمة". المشاريع الأخرى أقل حظا وتدفع الثمن النهائي.
القراءة ذات الصلة Harmony يتدلى من مكافأة مليون دولار مقابل 1 مليون دولار من الأموال المسروقة - هل هذا يكفي؟
في وقت كتابة هذا التقرير ، تم تداول Ethereum (ETH) بسعر 1,180،3 دولارًا أمريكيًا مع خسارة 24٪ في آخر XNUMX ساعة.
المصدر: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/