TOMA RÁPIDA
- XCarnival, un grupo de préstamos de NFT, perdió 3087 ETH debido a un exploit el domingo.
- El hacker responsable devolvió la mitad de los fondos, mientras que el protocolo prometió no emprender acciones policiales.
El pirata informático que explotó el grupo de préstamos de NFT XCarnival por 3.087 ETH (USD 3,8 millones) ha devuelto la mitad del botín, según el investigador de seguridad en cadena y cofundador de ZenGo, Tal Be'ery.
Como grupo de préstamos NFT, XCarnival permite a los usuarios pedir prestados fondos utilizando sus coleccionables como garantía para préstamos. XCarnival sufrió un incidente de seguridad el domingo que hizo que el explotador pudiera drenar $3.8 millones en ETH de la plataforma.
“El problema central fue una vulnerabilidad que permitió al atacante pedir prestado varias veces contra la misma garantía NFT”, dijo Be'ery a The Block.
El hacker depositó un NFT, Bored Ape #5110, como garantía para pedir fondos prestados. Normalmente, el Bored Ape utilizado como garantía debe quedar bloqueado por el protocolo hasta que se produzca el reembolso del préstamo. Sin embargo, el hacker pudo retirar la garantía de Bored Ape sin pagar el préstamo y utilizarla para tomar otro préstamo. Esta acción se repitió varias veces, drenando 3087 ETH del protocolo.
XCarnival se puso en contacto con el pirata informático después del incidente a través de mensajes en cadena que pedían la devolución de los fondos. El grupo de préstamos de NFT inicialmente ofreció una recompensa de $ 300,000 a cambio de los fondos robados. XCarnival luego aumentó su oferta a la mitad de la cantidad robada, a lo que el hacker accedió.
La billetera del hacker aún tiene 1500 ETH ($1,8 millones) al momento de la publicación. Los 120 ETH restantes, que se retiraron de Tornado Cash para llevar a cabo el exploit, han sido devueltos.
El prestamista de NFT también prometió no emprender ninguna acción policial contra el pirata informático si devolvía la mitad de los fondos robados.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony también ofreció recientemente una recompensa de $ 1 millón por la devolución de los $ 100 millones que fueron robados de su protocolo de puente Horizon el 23 de junio. La oferta de Harmony también incluye la promesa de no abogar por cargos penales contra los piratas informáticos.
