XCarnival, một giao thức cho vay NFT tổng hợp, đã mất 3.087 ETH do bị hacker tấn công vào ngày 26/06. Tuy nhiên rất may mắn, tin tặc đã nhanh chóng “hoàn lương”.
Theo nhà nghiên cứu bảo mật trên blockchain và đồng sáng lập ZenGo, Tal Be’ery, hacker khai thác lỗ hổng từ quỹ cho vay NFT XCarnival để lấy đi 3.087 ETH (khoảng 3,8 triệu USD) đã quyết định trả lại một nửa số tiền đánh cắp cho giao thức.
1/8 Update ?: The hacker accepted the offer and returned ~ half of the funds to @XCarnival_Lab.
Some of the negotiations (the victim to attacker side) is visible on the blockchain!
Including the “bounty” offer going up from initial $300K to $1.8M https://t.co/8hTe7Xt2gd pic.twitter.com/iWLDyp15Gl— Tal Be’ery (@TalBeerySec) June 27, 2022
Là một tổ hợp cho vay NFT, XCarnival cho phép người dùng vay tiền bằng cách sử dụng NFT của họ làm tài sản thế chấp cho các khoản vay. XCarnival đã gặp phải một sự cố bảo mật vào cuối tuần qua khiến hacker có thể bòn rút 3,8 triệu USD ETH khỏi nền tảng.
Cụ thể, tin tặc đã gửi một NFT Bored Ape số 5110, làm tài sản thế chấp để vay tiền. Thông thường, Bored Ape được sử dụng làm tài sản thế chấp nên được giao thức khóa lại cho đến khi hoàn trả khoản vay. Tuy nhiên, hacker đã có thể rút tài sản thế chấp của Bored Ape mà không cần trả lại khoản vay và sử dụng để thực hiện một khoản vay khác. Hành động này được lặp lại nhiều lần.
2) The hack is made possible by allowing a withdrawn pledged NFT to be still used as the collateral, which is then exploited by the hacker to drain assets from the pool. pic.twitter.com/2zA6vr59Hj
— PeckShield Inc. (@peckshield) June 26, 2022
Ngay sau đó, XCarnival đã liên hệ với hacker sau vụ việc kêu gọi hoàn lại tiền. Nhóm cho vay NFT ban đầu đưa ra khoản tiền thưởng 300.000 USD để đổi lấy số tiền bị đánh cắp. XCarnival sau đó đã tăng đề nghị của mình lên 1.543 ETH.
XCarnival cũng hứa sẽ không theo đuổi bất kỳ hành động thực thi pháp luật nào chống lại hacker nếu trả lại một nửa số tiền bị đánh cắp. Có lẽ vì lý do tiền thưởng được tăng lên và không phải chịu bất kỳ hành động pháp lý nào từ XCarnival nên hacker đã “tình nguyện” trả lại tiền cho dự án. Dù vậy, ví của kẻ thủ các vẫn còn 1.500 ETH (1,8 triệu USD) tính đến thời điểm thực hiện bài viết.
Việc các dự án “thương lượng” thành công với hacker sau khi bị tổn thất bởi một số lỗi khá “ngớ ngẩn” đến từ bản thân giao thức đang dần trở nên phổ biến. Đương cử là điều này đã xảy ra với hacker đã đánh cắp 20 triệu token OP từ Wintermute vào đầu tháng 6 và sau đó trả lại 17 triệu OP.
Harmony (ONE) gần đây cũng đưa ra khoản tiền thưởng 1 triệu USD cho hacker để đòi lại 100 triệu USD đã bị đánh cắp từ cầu nối Horizon vào ngày 23/06. Lời đề nghị của Harmony cũng bao gồm lời hứa không truy tố các cáo buộc hình sự đối với tin tặc.
Coin68 tổng hợp
Có thể bạn quan tâm:
- Nexo bị cáo buộc “ăn chặn tiền từ thiện” – Thực hư ra sao?
- Thợ đào liên tục gây sức ép, cá voi Bitcoin là phòng tuyến cuối cùng – Hy vọng nào cho BTC?