- XCarnival, кредитный пул NFT, в воскресенье потерял 3087 ETH из-за эксплойта.
- Ответственный хакер вернул половину средств, а протокол пообещал не преследовать правоохранительные органы.
По словам исследователя сетевой безопасности и соучредителя ZenGo Тала Беэри, хакер, который использовал кредитный пул NFT XCarnival за 3087 ETH (3,8 миллиона долларов), вернул половину добычи.
Как кредитный пул NFT, XCarnival позволяет пользователям занимать средства, используя свои предметы коллекционирования в качестве залога для кредитов. В воскресенье в XCarnival произошел инцидент с безопасностью, в результате которого эксплуататор смог вывести с платформы 3,8 миллиона долларов в ETH.
«Основной проблемой была уязвимость, которая позволяла злоумышленнику брать кредиты несколько раз под одно и то же обеспечение NFT», — сказал Беэри The Block.
The hacker deposited one NFT, Bored Ape #5110, as collateral to borrow funds. Normally, the Bored Ape used as collateral should be locked up by the protocol until repayment of the loan occurs. The hacker was, however, able to withdraw the Bored Ape collateral without repaying the loan and using it to take another loan. This action was repeated several times, draining 3,087 ETH from the protocol.
XCarnival contacted the hacker after the incident via on-chain messages calling for a return of the funds. The NFT lending pool initially offered a $300,000 bounty in exchange for the stolen funds. XCarnival then increased its offer to half of the stolen amount, which the hacker obliged.
The hacker’s wallet still has 1,500 ETH ($1.8 million) as of the time of publishing. The remaining 120 ETH, which was withdrawn from Tornado Cash to carry out the exploit, has been returned.
The NFT lender also promised not to pursue any law enforcement action against the hacker if they returned half of the stolen funds.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony также недавно предложила вознаграждение в размере 1 миллиона долларов за возвращение 100 миллионов долларов, которые были украдены из протокола моста Horizon 23 июня. Предложение Harmony также включает обещание не выступать за уголовные обвинения против хакеров.