TOMADA RÁPIDA
- O XCarnival, um pool de empréstimos NFT, perdeu 3.087 ETH em uma exploração no domingo.
- O hacker responsável devolveu metade dos fundos, enquanto o protocolo prometeu não prosseguir com ações de aplicação da lei.
O hacker que explorou o pool de empréstimos NFT XCarnival por 3.087 ETH (US$ 3,8 milhões) devolveu metade do saque, de acordo com o pesquisador de segurança on-chain e cofundador da ZenGo Tal Be'ery.
Como um pool de empréstimos NFT, o XCarnival permite que os usuários emprestem fundos usando seus itens colecionáveis como garantia para empréstimos. O XCarnival sofreu um incidente de segurança no domingo que viu o explorador conseguir drenar US$ 3,8 milhões em ETH da plataforma.
“A questão central era uma vulnerabilidade que permitia ao invasor tomar emprestado várias vezes contra a mesma garantia NFT”, disse Be'ery ao The Block.
O hacker depositou uma NFT, Bored Ape #5110, como garantia para empréstimos de fundos. Normalmente, o Bored Ape usado como garantia deve ser bloqueado pelo protocolo até que ocorra o pagamento do empréstimo. O hacker conseguiu, no entanto, retirar a garantia do Bored Ape sem pagar o empréstimo e usá-lo para fazer outro empréstimo. Essa ação foi repetida várias vezes, drenando 3.087 ETH do protocolo.
O XCarnival entrou em contato com o hacker após o incidente por meio de mensagens on-chain pedindo a devolução dos fundos. O pool de empréstimos da NFT inicialmente ofereceu uma recompensa de US$ 300.000 em troca dos fundos roubados. O XCarnival então aumentou sua oferta para metade do valor roubado, o que o hacker obrigou.
A carteira do hacker ainda tem 1.500 ETH (US$ 1,8 milhão) no momento da publicação. Os 120 ETH restantes, que foram retirados do Tornado Cash para realizar o exploit, foram devolvidos.
O credor da NFT também prometeu não prosseguir com nenhuma ação policial contra o hacker se ele devolvesse metade dos fundos roubados.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
A Harmony também ofereceu recentemente uma recompensa de US$ 1 milhão pela devolução dos US$ 100 milhões que foram roubados de seu protocolo de ponte Horizon em 23 de junho. A oferta da Harmony também inclui uma promessa de não defender acusações criminais contra os hackers.