"Metaverse Asset Bank", Carnival, som oplevede en smart kontraktudnyttelse i et væld af transaktioner og førte til en gevinst på omkring 3,000 ETH ved at en hacker fandt en opløsning, der mindskede skaden på platformen og fik hackeren til at se bedre ud, pr. PeckShield Inc.
Hvordan skete hacket?
Fejlen i platformens kode gjorde det muligt for hackere at trække sig lovede NFT'er og bruge dem som sikkerhed. Mekanismen blev senere brugt til at dræne aktiver fra poolen. Hovedspørgsmålet var den manglende dømmekraft i kontrakten, der ikke har kontrolleret, om den pantsatte NFT er blevet trukket tilbage af låntageren.
Som altid modtog hackeren sine midler fra Tornado Cash møntblandingsløsning, som tillod ham at forblive fuldstændig anonym. Potentielt kunne udnytteren nemt have vasket stjålne midler og forblevet under radaren, og så senere have flyttet dem til fiat på en eller anden måde.
annoncer
Den gode ende
Heldigvis for platformbrugere og ledelsesteamet indvilligede hackeren i kun at returnere halvdelen af de stjålne midler på én betingelse: Hvis hele udnyttelseshistorien ville blive betragtet som en "bug bounty", ville han undgå alle fremtidige retssager.
Det ser ud til, at de resterende 1467 ETH lige er returneret. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) 27. Juni, 2022
Han bad Carnival CEO om at give ejeren af adressen, der slutter med "B800a", en dusør på 1,500 ETH i bytte for de stjålne midler. Grundlæggende betalte platformen hackeren en 1.8 millioner dollars bug-bounty, hvilket anses for mere end generøse.
Siden begyndelsen af året er antallet af udnyttelser og hacks af forskellige DeFi-platforme og NFT-samlinger faldet markant, højst sandsynligt på grund af begge industriers faldende popularitet og et nedbrud på kryptovalutamarkedet i maj og juni.
Kilde: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how