黑客自責——幾乎每週,DeFi 生態系統都會經歷各種詐騙和黑客攻擊。然而,在某些情況下,它的結局很好,被盜資金歸還。這就是剛剛發生的XCarnival 協議黑客攻擊的一部分。
Hack XCarnival:3,000 ETH 被盜
XCarnival 是一個在區塊鏈、以太坊和BNB 智能鏈上發展的借貸協議。這從通常的借貸協議中脫穎而出。
事實上,XCarnival 具有提供貸款以換取NFT 質押的特殊性。因此,NFT 持有者可以將其作為質押品存入,以便獲得去中心化貸款。
相反,通常的借貸協議要求以加密貨幣(無論是ETH、BTC 還是穩定幣)的形式存入質押品。
不幸的是,6 月26 日,XCarnival 團隊宣布暫停他們的智能合約,阻止存款和取款。
XCarnival 宣布暫停服務。
不久之後,消息傳出:該協議被利用,攻擊者成功竊取了3,000 多個ETH,總共掠奪了340 萬美元。
在實踐中,攻擊者能夠利用一個漏洞,允許他使用單個NFT 進行多筆貸款。
為此,他在XCarnival 上提交了NFT Bored Ape Yacht Club #5510。這筆存款使他能夠進行第一筆貸款。隨後,由於漏洞,他能夠在不償還貸款的情況下提取NFT。
然後他重複了這個操作,直到他從協議礦池中吸走了超過3,087 ETH。
與黑客談判
在這種情況下,XCarnival 協議的開發人員通常會與攻擊者進行談判。
因此,後者向攻擊者的地址發送了一條鏈上消息。 XCarnival 然後向他提供了300,000 美元的漏洞賞金獎勵,以換取資金的返還。
“我們想準備300,000 美元作為漏洞賞金,如果你退還資金,我們將不會採取執法行動。 »
XCarnival 發送給攻擊者的消息。
看起來,這個提議並沒有真正吸引這位前鋒。相反,他要求將此溢價增加到1,500 ETH,300 ETH 被認為“太低了”。
就其本身而言,XCarnival 並沒有真正的談判能力。因此,後者別無選擇,只能接受1,500 ETH 的提議。隨後進行了幾次交易所,攻擊者確保他不會被起訴。
最後,在6 月27 日,攻擊者繼續返還剩餘的1,467 ETH,並在此過程中獲得了超過一百萬美元的豐厚獎勵。
XCarnival 宣布返還資金。
自此事件以來,XCarnival 一直在與Certik 合作修改他們有缺陷的合約。此外,該協議還宣布與Peckshield 公司簽訂合約,以便對代碼進行第二次審計。
並非所有協議都如此幸運
在某些情況下,被利用的協議不如XCarnival 幸運。 Harmony區塊鏈的情況尤其如此,其Horizon 橋上周遭到攻擊。
攻擊者總共竊取了價值1 億美元的加密。顯然,協議團隊試圖與攻擊者取得聯繫,並為他提供100 萬美元的資金返還獎勵。
一個他不屑於提出的提議,讓Harmony 團隊沒有得到答复。
最近,他終於選擇洗錢。因此,他開始將被盜資金大量轉移到Tornado Cash 協議中,以掩蓋他的踪跡。
遠離各式各樣的垃圾郵件發送者和詐騙者,避免像瘟疫一樣的好得令人難以置信的提議,並養成表現出健康懷疑的習慣。另一方面,也要學會合理信任生態系統中受人尊敬和認可的參與者。 FTX 平台毫無疑問屬於第二類。通過在FTX 上註冊來獲取和交易你的第一個比特幣和其他加密貨幣。你將受益於交易費用的終身折扣(附屬鏈接)。
文章以太坊:他偷了300 萬美元的ETH……但歸還了一半——XCarnival 黑客的悔恨首先出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載