SCHNELL NEHMEN
- XCarnival, ein NFT-Kreditpool, verlor am Sonntag 3.087 ETH durch einen Exploit.
- Der verantwortliche Hacker hat die Hälfte der Gelder zurückgegeben, während das Protokoll versprochen hat, keine Strafverfolgungsmaßnahmen zu ergreifen.
Der Hacker, der den NFT-Kreditpool XCarnival für 3.087 ETH (3,8 Millionen US-Dollar) ausgenutzt hat, hat laut dem On-Chain-Sicherheitsforscher und ZenGo-Mitbegründer Tal Be'ery die Hälfte der Beute zurückgegeben.
Als NFT-Kreditpool ermöglicht XCarnival Benutzern, Gelder zu leihen, indem sie ihre Sammlerstücke als Sicherheit für Kredite verwenden. XCarnival erlitt am Sonntag einen Sicherheitsvorfall, bei dem der Exploiter 3,8 Millionen Dollar an ETH von der Plattform abziehen konnte.
„Das Kernproblem war eine Schwachstelle, die es dem Angreifer ermöglichte, mehrfach gegen dieselbe NFT-Sicherheit zu leihen“, sagte Be'ery gegenüber The Block.
Der Hacker hinterlegte eine NFT, Bored Ape #5110, als Sicherheit, um sich Geld zu leihen. Normalerweise sollte der als Sicherheit verwendete gelangweilte Affe durch das Protokoll eingesperrt werden, bis die Rückzahlung des Darlehens erfolgt. Der Hacker war jedoch in der Lage, die Bored Ape-Sicherheiten abzuheben, ohne den Kredit zurückzuzahlen, und sie für die Aufnahme eines anderen Kredits zu verwenden. Diese Aktion wurde mehrmals wiederholt, wodurch 3.087 ETH aus dem Protokoll entzogen wurden.
XCarnival kontaktierte den Hacker nach dem Vorfall über On-Chain-Nachrichten und forderte die Rückgabe der Gelder. Der NFT-Kreditpool bot zunächst eine Prämie von 300.000 US-Dollar als Gegenleistung für die gestohlenen Gelder. XCarnival erhöhte daraufhin sein Angebot auf die Hälfte des gestohlenen Betrags, was der Hacker verpflichtete.
Die Brieftasche des Hackers enthält zum Zeitpunkt der Veröffentlichung noch 1.500 ETH (1,8 Millionen US-Dollar). Die restlichen 120 ETH, die Tornado Cash zur Durchführung des Exploits entnommen wurden, wurden zurückgegeben.
Der NFT-Kreditgeber versprach auch, keine Strafverfolgungsmaßnahmen gegen den Hacker einzuleiten, wenn er die Hälfte der gestohlenen Gelder zurückgibt.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony bot kürzlich auch eine Prämie von 1 Million US-Dollar für die Rückgabe der 100 Millionen US-Dollar an, die am 23. Juni aus seinem Horizon-Brückenprotokoll gestohlen wurden. Das Angebot von Harmony beinhaltet auch das Versprechen, sich nicht für strafrechtliche Anklagen gegen die Hacker einzusetzen.
