Cómo esta plataforma Ethereum fue atacada e hizo un trato con el hacker

Plataforma de préstamos Ethereum XCarnival confirmado un mal actor robó $ 3.8 millones o 3,087 ETH. Según un informe de la empresa de seguridad en cadena Peck Shield, un pirata informático explotó una vulnerabilidad en el contrato inteligente del protocolo al pedir prestado ETH y crear "múltiples órdenes de compromiso para comprometer BAYC (Bored Ape Yacht Club NFT) muchas veces".

Lectura relacionada | Se dice que Morgan Creek está en oferta para obtener $ 250 millones para contrarrestar el rescate de FTX BlockFi

XCarnival opera como un grupo de préstamos de tokens no fungibles (NFT). La plataforma permite a los titulares de NFT depositar sus activos a cambio de liquidez. Este proceso involucra tres contratos inteligentes: un administrador de NFT, un P2Controller para administrar las restricciones de préstamos y el almacenamiento de fondos, como dijo por otra firma de seguridad Go+ Security.

El hacker compró el artículo 5110 de la popular colección NFT de Bored Ape Yacht Club en OpenSea. Más tarde, depositó este activo en XCarnival y realizó un ataque para "usar el mismo NFT para pedir prestado".

En otras palabras, el atacante pudo prometer el NFT, tomó prestado ETH y luego eliminó el NFT sin devolver el préstamo. El mal actor completó este proceso varias veces hasta que se vació la piscina.

Go+ Security explicó que el pirata informático creó un contrato inteligente maestro y varios contratos inteligentes "esclavos" para realizar el ataque:

Luego, el Esclavo 5338 retiró el NFT y se lo envió de regreso al Maestro, quien luego repitió este proceso con otros Esclavos. De esta manera, crearon muchos ID de pedido, que luego pueden usarse como credenciales de préstamo. Pero el contrato xNFT con errores no revocó la credencial después de retirarse.

XCarnaval's operado con una vulnerabilidad en sus contratos inteligentes, mencionada anteriormente, que habilita el ataque si el usuario se queda dentro de cierto. Go+ Security agregó sobre el ataque y la vulnerabilidad del contrato inteligente: “La garantía sigue siendo válida después de retirarse. Este es un error muy simple e ingenuo en la implementación del contrato”.

A la luz del ataque exitoso, el protocolo de préstamos NFT basado en Ethereum decidió ofrecerle un trato al hacker.

La plataforma Ethereum hace tratos con su atacante

Según su cuenta oficial de Twitter, el XCarnival ofreció al hacker una recompensa de 1,500 ETH o 1.8 millones de dólares. La mitad de los fondos robados. El atacante solo necesitaba devolver la otra mitad y se quedó con el dinero y no sufrió consecuencias legales.

El equipo detrás de la plataforma confirmó que el hacker aceptó los términos. La mitad de los fondos robados fueron devueltos al fondo común. La plataforma de préstamos Ethereum afirma que "las agencias de seguridad han determinado tentativamente la ubicación geográfica del pirata informático".

Esta declaración parece insinuar posibles consecuencias legales para el atacante, pero el equipo detrás de este proyecto aún no ha proporcionado más información.

7/8 Fondos devueltoshttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03

— Tal Beery (@TalBeerySec) 27 de junio de 2022

Esta no es la primera vez que un hacker accede a devolver una parte o el monto total de los fondos robados. Algunos piratas informáticos atacan las plataformas de finanzas descentralizadas (DeFi) y, a menudo, retienen el dinero como rehén hasta que reciben el pago por lo que consideran un "servicio". Otros proyectos tienen menos suerte y pagan el precio final.

Lectura relacionada | Harmony ofrece una recompensa de $ 1 millón por la devolución de $ 100 millones de fondos robados: ¿es suficiente?

Al momento de escribir, Ethereum (ETH) cotiza a $1,180 con una pérdida del 3% en las últimas 24 horas.