HIZLI ÇEKİM
- Bir NFT borç verme havuzu olan XCarnival, Pazar günü bir istismar nedeniyle 3.087 ETH kaybetti.
- Sorumlu bilgisayar korsanı fonların yarısını iade ederken, protokol kolluk kuvvetlerine başvurmamaya söz verdi.
Zincir üstü güvenlik araştırmacısı ve ZenGo kurucu ortağı Tal Be'ery'ye göre, NFT borç verme havuzu XCarnival'i 3.087 ETH (3,8 milyon $) karşılığında kullanan bilgisayar korsanı, ganimetin yarısını iade etti.
Bir NFT kredi havuzu olarak XCarnival, kullanıcıların tahsilatlarını krediler için teminat olarak kullanarak borç almalarını sağlar. XCarnival, Pazar günü, istismarcının platformdan 3,8 milyon dolar ETH çekebildiğini gören bir güvenlik olayı yaşadı.
Be'ery, The Block'a “Temel sorun, saldırganın aynı NFT teminatına karşı birden çok kez borç almasına izin veren bir güvenlik açığıydı” dedi.
The hacker deposited one NFT, Bored Ape #5110, as collateral to borrow funds. Normally, the Bored Ape used as collateral should be locked up by the protocol until repayment of the loan occurs. The hacker was, however, able to withdraw the Bored Ape collateral without repaying the loan and using it to take another loan. This action was repeated several times, draining 3,087 ETH from the protocol.
XCarnival contacted the hacker after the incident via on-chain messages calling for a return of the funds. The NFT lending pool initially offered a $300,000 bounty in exchange for the stolen funds. XCarnival then increased its offer to half of the stolen amount, which the hacker obliged.
The hacker’s wallet still has 1,500 ETH ($1.8 million) as of the time of publishing. The remaining 120 ETH, which was withdrawn from Tornado Cash to carry out the exploit, has been returned.
The NFT lender also promised not to pursue any law enforcement action against the hacker if they returned half of the stolen funds.
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony ayrıca yakın zamanda 23 Haziran'da Horizon köprü protokolünden çalınan 100 milyon doların iadesi için 1 milyon dolar ödül teklif etti. Harmony'nin teklifi aynı zamanda bilgisayar korsanlarına karşı suç duyurusunda bulunmama sözünü de içeriyor.