クイックテイク
- NFTの貸付プールであるXCarnivalは、日曜日のエクスプロイトで3,087ETHを失いました。
- 責任のあるハッカーは資金の半分を返還しましたが、議定書は法執行措置を追求しないことを約束しました。
オンチェーンのセキュリティ研究者でZenGoの共同創設者であるTalBe'eryによると、NFT融資プールXCarnivalを3,087 ETH(380万ドル)で悪用したハッカーは、略奪品の半分を返しました。
XCarnivalは、NFTの貸付プールとして、ユーザーが収集品を貸付の担保として使用して資金を借りることができるようにします。 XCarnivalは日曜日にセキュリティインシデントに見舞われ、悪用者はプラットフォームからETHで380万ドルを排出することができました。
「主要な問題は、攻撃者が同じNFT担保に対して複数回借りることができる脆弱性でした」とBe'eryはTheBlockに語りました。
ハッカーは、資金を借りるための担保として、1つのNFT、Bored Ape#5110を預けました。 通常、担保として使用される退屈な猿は、ローンの返済が発生するまで、プロトコルによってロックアップする必要があります。 しかし、ハッカーは、ローンを返済し、それを使用して別のローンを組むことなく、退屈な猿の担保を引き出すことができました。 このアクションは数回繰り返され、プロトコルから3,087ETHが排出されました。
XCarnivalは、事件後、資金の返還を求めるチェーンメールを介してハッカーに連絡しました。 NFT貸付プールは当初、盗まれた資金と引き換えに300,000ドルの報奨金を提供しました。 その後、XCarnivalは、ハッカーが義務付けた盗難額の半分にオファーを増やしました。
ハッカーのウォレットには、発行時点でまだ1,500 ETH(180万ドル)があります。 エクスプロイトを実行するためにトルネードキャッシュから引き出された残りの120ETHは返還されました。
NFTの貸し手は、盗まれた資金の半分をハッカーが返還した場合、ハッカーに対して法執行措置を講じないことも約束しました。
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
ハーモニーは最近、6月23日にホライゾンブリッジプロトコルから盗まれた1億ドルの返還に対して、100万ドルの報奨金を提供しました。ハーモニーの提案には、ハッカーに対する刑事告発を主張しないという約束も含まれています。