XCarnival, поставщик ликвидности для экосистемы Ethereum, восстановил 1467 эфиров (ETH) всего за день после взлома, который истощил 3087 эфиров на сумму примерно 3,8 миллиона долларов из протокола.
Исследователь блокчейна Peckshield заметил взлом XCarnival, когда обнаружил поток транзакций, в результате которых из протокола было украдено 3087 ETH. Объясняя природу эксплойта, Peckshield заявил:
«Взлом стал возможен благодаря тому, что снятый заложенный NFT по-прежнему используется в качестве залога, который затем используется хакером для слива активов из пула».
Вскоре после разоблачения XCarnival заранее проинформировал пользователей о взломе, временно приостановив работу части своих сервисов, чтобы противостоять надоедливой атаке. Протокол также предлагал хакеру 1500 ETH в качестве вознаграждения в дополнение к освобождению от судебного разбирательства.
XCarnival подвергся нападению 26 июня 2022 года и приостановил часть протокола. Официальные лица XCarnival дадут владельцу 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a вознаграждение в размере 1500 ETH. В то же время официальные лица XCarnival прямо освобождают человека от судебного преследования. От команды XCarnival— XCarnival (@XCarnival_Lab) 27 июня 2022 г.
В конце концов, XCarnival приостановил работу смарт-контрактов, а также функций депозита и заимствования до тех пор, пока не сможет выявить и исправить внутреннюю ошибку, которая сделала возможным взлом. Согласно Packshield, хакер использовал ранее изъятый залог NFT из коллекции яхт-клуба Bored Ape (BAYC) в качестве залога для вывода активов.
В то время как кошелек хакера XCarnival показал наличие 3087 ETH после взлома, оставшиеся средства, похоже, были успешно перекачаны — с кошельком, показывающим 0 ETH на момент написания.
XCarnival объявил о планах раскрыть подробности о ситуации в ближайшее время.
Связанный: хакер в белой шляпе пытается вернуть «миллионы» потерянных Биткоин, находит только 105 долларов
То, что могло бы стать историей года, оказалось разочарованием после того, как попытки хакера в белой шляпе восстановить заблокированный телефон, полный Биткоин (BTC), привели к обнаружению всего 0,00300861 BTC.
Как сообщалось, Джо Гранд, компьютерный инженер и хакер по аппаратному обеспечению, отправился из Портленда в Сиэтл, чтобы потенциально восстановить BTC с телефона Samsung Galaxy SIII, принадлежащего Лавару, местному автобусному оператору.
Тщательные усилия, которые включали микропайку, загрузку памяти и обнаружение шаблона доступа Samsung, Лавар открыл свой биткоин-кошелек MyCelium и обнаружил только 0,00300861 BTC — на тот момент это стоило 105 долларов, а на момент публикации — примерно 63 доллара.