Hacker 'hoàn lương' trong vụ tấn công XCarnival và sẽ trả nửa số tiền còn lại

Hacker ‘hoàn lương’ trong vụ tấn công XCarnival và sẽ trả nửa số tiền còn lại

Hacker tấn công XCarnival, một công ty tổng hợp cho vay đối với các tài sản metaverse, đã chấp nhận khoản tiền thưởng 1,500 ETH để trả lại 1,467 ETH.

Theo nhà nghiên cứu bảo mật trên blockchain và đồng sáng lập ZenGo, Tal Be’ery, hacker khai thác lỗ hổng từ quỹ cho vay NFT XCarnival để lấy đi 3.087 ETH (khoảng 3,8 triệu USD) đã quyết định trả lại một nửa số tiền đánh cắp cho giao thức.

Các giao dịch của Etherscan cho thấy tin tặc đã gửi ETH 1.467 đến địa chỉ được chia sẻ bởi nhóm XCarnival.

BÀI VIẾT LIÊN QUAN

Anh hướng tới khung pháp lý tiền mã hóa năm 2025

Chủ tịch SEC Gary Gensler sắp từ chức

Nhật Bản cải cách thuế tiền mã hóa

Hàn Quốc xác nhận tin tặc Triều Tiên đứng sau vụ hack 50 triệu USD trên sàn Upbit

1/8 Update 🧵: The hacker accepted the offer and returned ~ half of the funds to @XCarnival_Lab.
Some of the negotiations (the victim to attacker side) is visible on the blockchain!
Including the "bounty" offer going up from initial $300K to $1.8M https://t.co/8hTe7Xt2gd pic.twitter.com/iWLDyp15Gl
— Tal Be'ery (@TalBeerySec) June 27, 2022

Vào ngày 26/06, một tin tặc đã có thể khai thác một lỗ hổng trong mã hợp đồng thông minh, công ty bảo mật blockchain PeckShield đưa tin, nói rằng vào thời điểm đó rằng đã có 3.087 ETH đã bị đánh cắp.

XCarnival was attacked on June 26, 2022 and suspended part of the protocol. XCarnival officials will give 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a owner 1500 ETH bounty.
At the same time, XCarnival officals explicitly exempt the person from legal action.

By XCarnival team
— XCarnival (@XCarnival_Lab) June 27, 2022

Cụ thể, tin tặc đã gửi một NFT Bored Ape số 5110, làm tài sản thế chấp để vay tiền. Thông thường, Bored Ape được sử dụng làm tài sản thế chấp nên được giao thức khóa lại cho đến khi hoàn trả khoản vay. Tuy nhiên, hacker đã có thể rút tài sản thế chấp của Bored Ape mà không cần trả lại khoản vay và sử dụng để thực hiện một khoản vay khác. Hành động này được lặp lại nhiều lần.

2) The hack is made possible by allowing a withdrawn pledged NFT to be still used as the collateral, which is then exploited by the hacker to drain assets from the pool. pic.twitter.com/2zA6vr59Hj
— PeckShield Inc. (@peckshield) June 26, 2022

Trong nỗ lực thu hồi số tiền bị đánh cắp, nhóm XCarnival đã liên hệ với tin tặc với lời đề nghị tiền thưởng là 300.000 USD và cam kết không truy tố hành động thực thi pháp luật nếu họ trả lại số tiền còn lại.

“1.500 ETH – hai bên đều vui vẻ? 300 ETH quá thấp, “tin tặc cho biết trong một tin nhắn trên chuỗi. “1.500 ETH là chấp nhận được”, nhóm XCarnival trả lời, yêu cầu tin tặc gửi số tiền còn lại.

Theo một tweet được chia sẻ vào ngày 26/06, hợp đồng thông minh XCarnival đã bị dừng hoạt động, trong khi “tất cả các hành động đặt cọc và vay tạm thời không được hỗ trợ”.

XCarnival, tự xem mình là “người chơi hàng đầu của ngân hàng tài sản metaverse”, cho phép người dùng kiếm được tỷ lệ Lợi suất phần trăm hàng năm (APY) cao bằng cách cho vay NFT của họ và được hỗ trợ bởi các tài sản crypto khác.

Trong khi đó, token gốc XCV của dự án đã bị ảnh hưởng nặng nề bởi vụ hack gần đây này. Token này đã giảm 10% trong 24 giờ qua, trong khi nó chỉ tăng 1% trong một tuần.

Ngoài ra, cùng với thông tin các vụ tấn công, vào ngày 21/06 Harmony bị hacker chiếm đoạt altcoins lên tới trị giá 100 triệu USD.

Nguồn: Tổng hợp