Platform peminjaman Ethereum XCarnival mengkonfirmasi aktor jahat mencuri $3,8 juta atau 3.087 ETH. Menurut laporan dari perusahaan keamanan on-chain Peck Shield, seorang peretas mengeksploitasi kerentanan pada kontrak pintar protokol dengan meminjam ETH dan membuat “beberapa perintah gadai untuk menjanjikan BAYC (Bored Ape Yacht Club NFTs) berkali-kali”.
Bacaan Terkait | Morgan Creek Dikatakan Dalam Tawaran Untuk Mengamankan $250-M Untuk Melawan FTX BlockFi Bailout
XCarnival beroperasi sebagai kumpulan pinjaman non-fungible token (NFT). Platform ini memungkinkan pemegang NFT untuk menyimpan aset mereka dengan imbalan likuiditas. Proses ini melibatkan tiga kontrak cerdas: manajer NFT, P2Controller untuk mengelola pembatasan pinjaman, dan penyimpanan dana, sebagai dinyatakan oleh perusahaan keamanan lain Go+ Security.
Peretas membeli item 5110 dari Bored yang populer Koleksi NFT Ape Yacht Club di OpenSea. Kemudian, dia menyimpan aset ini di XCarnival dan melakukan serangan untuk “menggunakan NFT yang sama untuk meminjam”.
Dengan kata lain, penyerang dapat menjaminkan NFT, meminjam ETH, dan kemudian menghapus NFT tanpa membayar kembali pinjamannya. Pelaku jahat menyelesaikan proses ini beberapa kali hingga kumpulan terkuras.
Go+ Security menjelaskan bahwa peretas membuat kontrak pintar Master dan beberapa kontrak pintar”budak”untuk melakukan serangan:
Kemudian Slave 5338 menarik NFT dan mengirimkannya kembali ke Master, yang kemudian mengulangi proses ini dengan Slave lainnya. Dengan cara ini mereka membuat banyak orderID, yang nantinya dapat digunakan sebagai kredensial pinjaman. Tetapi kontrak xNFT yang disadap tidak mencabut kredensial setelah penarikan.
XCarnival dioperasikan dengan kerentanan pada kontrak cerdasnya, yang disebutkan di atas, yang memungkinkan serangan jika pengguna tetap berada dalam batas tertentu. Go+ Security menambahkan serangan dan kerentanan kontrak pintar: “Agunan masih berlaku setelah penarikan. Ini adalah bug yang sangat sederhana & naif dalam implementasi kontrak.”
Mengingat serangan yang berhasil, protokol peminjaman NFT berbasis Ethereum memutuskan untuk menawarkan kesepakatan kepada peretas.
Ethereum Platform Membuat Kesepakatan Dengan Penyerangnya
Menurut akun Twitter resminya, XCarnival menawarkan kepada peretas hadiah 1.500 ETH atau $1,8 juta. Setengah dari dana yang dicuri. Penyerang hanya perlu mengembalikan setengah lainnya dan mereka harus menyimpan uangnya dan tidak menderita konsekuensi hukum.
Tim di belakang platform mengonfirmasi bahwa peretas menyetujui persyaratan tersebut. Setengah dari dana yang dicuri dikembalikan ke kolam. Platform peminjaman Ethereum mengklaim “agen keamanan secara tentatif telah menentukan lokasi geografis peretas”.
Pernyataan ini tampaknya mengisyaratkan kemungkinan konsekuensi hukum bagi penyerang, tetapi tim di balik proyek ini belum memberikan informasi lebih lanjut.
7/8 Dana dikembalikanhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be’ery (@TalBeerySec) 27 Juni 2022
Ini bukan pertama kalinya seorang peretas setuju untuk mengembalikan sebagian atau seluruh dana yang dicuri. Beberapa peretas menyerang platform keuangan terdesentralisasi (DeFi) dan sering menyandera uang sampai mereka menerima pembayaran untuk apa yang mereka anggap sebagai”layanan”. Proyek lain kurang beruntung dan membayar harga tertinggi.
Bacaan Terkait | Harmony Menggantung Hadiah $1M Untuk Pengembalian Dana Pencurian $100M – Apakah Cukup?
Pada saat penulisan, Ethereum (ETH) diperdagangkan pada $1,180 dengan kerugian 3% dalam 24 jam terakhir jam.
ETH bergerak sideways pada grafik 4 jam. Sumber: ETHUSD Tradingview
