快速拍摄
- NFT 借贷池 XCarnival 在周日的一次攻击中损失了 3,087 ETH。
- 负责的黑客已经退还了一半的资金,而协议已承诺不采取执法行动。
根据链上安全研究员和 ZenGo 联合创始人 Tal Be'ery 的说法,利用 NFT 借贷池 XCarnival 获得 3,087 ETH(380 万美元)的黑客已经归还了一半的战利品。
作为一个 NFT 借贷池,XCarnival 允许用户使用他们的收藏品作为贷款抵押品借入资金。 XCarnival 周日遭遇了一起安全事件,该漏洞利用者能够从平台上提取 380 万美元的 ETH。
“核心问题是一个漏洞,它允许攻击者多次借用同一个 NFT 抵押品,”Be'ery 告诉 The Block。
黑客存放了一个 NFT,Bored Ape #5110,作为借入资金的抵押品。 通常,用作抵押品的无聊猿应被协议锁定,直到偿还贷款。 然而,黑客能够在不偿还贷款的情况下提取 Bored Ape 抵押品并用它来获得另一笔贷款。 这个动作重复了几次,从协议中消耗了 3,087 ETH。
事件发生后,XCarnival 通过链上消息联系了黑客,要求归还资金。 NFT 借贷池最初提供 300,000 美元的赏金以换取被盗资金。 XCarnival 然后将其报价提高到被盗金额的一半,黑客有义务这样做。
截至发稿时,黑客的钱包里仍有 1,500 ETH(180 万美元)。 从 Tornado Cash 中提取的剩余 120 ETH 已被归还。
NFT 贷方还承诺,如果黑客归还了一半被盗资金,则不会对黑客采取任何执法行动。
It is becoming a popular occurrence for projects to offer bug bounties to hackers responsible for stealing from them. For example, this happened to the exploiter who stole 20 million Optimism tokens from Wintermute earlier in June and subsequently returned 17 million of those coins, with the two sides calling it even.
Harmony 最近还悬赏 100 万美元,以归还 6 月 23 日从其 Horizon 桥接协议中被盗的 1 亿美元。Harmony 的提议还包括承诺不主张对黑客提起刑事指控。
