PRISE RAPIDE
- XCarnival, un pool de prêt NFT, a perdu 3 087 ETH à cause d'un exploit dimanche.
- Le pirate informatique responsable a restitué la moitié des fonds, tandis que le protocole a promis de ne pas poursuivre l'action des forces de l'ordre.
Le pirate informatique qui a exploité le pool de prêt NFT XCarnival pour 3 087 ETH (3,8 millions de dollars) a restitué la moitié du butin, selon Tal Be'ery, chercheur en sécurité en chaîne et co-fondateur de ZenGo.
En tant que pool de prêt NFT, XCarnival permet aux utilisateurs d'emprunter des fonds en utilisant leurs objets de collection comme garantie pour des prêts. XCarnival a subi un incident de sécurité dimanche qui a permis à l'exploiteur de drainer 3,8 millions de dollars en ETH de la plate-forme.
"Le problème principal était une vulnérabilité qui permettait à l'attaquant d'emprunter plusieurs fois contre la même garantie NFT", a déclaré Be'ery à The Block.
Le pirate a déposé un NFT, Bored Ape #5110, en garantie pour emprunter des fonds. Normalement, le Bored Ape utilisé comme garantie devrait être enfermé par le protocole jusqu'au remboursement du prêt. Le pirate a cependant pu retirer la garantie de Bored Ape sans rembourser le prêt et l'utiliser pour contracter un autre prêt. Cette action a été répétée plusieurs fois, drainant 3 087 ETH du protocole.
XCarnival a contacté le pirate informatique après l'incident via des messages en chaîne appelant à la restitution des fonds. Le pool de prêt NFT a initialement offert une prime de 300 000 $ en échange des fonds volés. XCarnival a alors augmenté son offre à la moitié du montant volé, ce que le pirate a obligé.
Le portefeuille du pirate informatique contient toujours 1 500 ETH (1,8 million de dollars) au moment de la publication. Les 120 ETH restants, qui ont été retirés de Tornado Cash pour réaliser l'exploit, ont été restitués.
Le prêteur NFT a également promis de ne poursuivre aucune action en justice contre le pirate s'il restituait la moitié des fonds volés.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony a également récemment offert une prime de 1 million de dollars pour le retour des 100 millions de dollars qui ont été volés à son protocole de pont Horizon le 23 juin. L'offre d'Harmony comprend également une promesse de ne pas plaider pour des accusations criminelles contre les pirates.
