Хакер возвращает половину $3,8 млн, которые он украл у NFT-кредитора XCarnival
XCarnival, кредитный пул NFT, потерял 3087 ETH из-за эксплойта в воскресенье. Ответственный за взлом хакер вернул половину средств, а протокол пообещал не привлекать правоохранительные органы.
По словам исследователя сетевой безопасности и соучредителя ZenGo Тала Беэри, хакер, который использовал кредитный пул NFT XCarnival на 3087 ETH (3,8 миллиона долларов), вернул половину добычи.
Как кредитный пул NFT, XCarnival (XCV) позволяет пользователям занимать средства, используя свои предметы коллекционирования в качестве залога для кредитов. В воскресенье в XCarnival произошел инцидент с безопасностью, в результате которого хакер смог вывести с платформы 3,8 миллиона долларов в ETH.
«Основной проблемой была уязвимость, которая позволяла злоумышленнику брать кредиты несколько раз под одно и то же обеспечение NFT», — сказал Беери.
Хакер внес один NFT, Bored Ape #5110, в качестве залога для получения кредита. Обычно скучающая обезьяна, используемая в качестве залога, должна быть заблокирована протоколом до тех пор, пока не произойдет погашение кредита. Однако хакер смог снять залог Bored Ape, не возвращая кредит и используя его для получения другого кредита. Хакер повторил это действие несколько раз, в результате чего из протокола было выведено 3087 ETH.
XCarnival связался с хакером после инцидента с призывом вернуть средства. Кредитный пул NFT изначально предлагал вознаграждение в размере $300 000 в обмен на украденные средства. Затем XCarnival увеличил свое предложение до половины украденной суммы, и хакер это предложение принял.
На момент публикации в кошельке хакера оставалось 1500 ETH ($1,8 млн). Оставшиеся 120 ETH, которые были выведены из Tornado Cash (TORN) для проведения эксплойта, были возвращены.
Кредитор NFT также пообещал не предпринимать никаких правоохранительных действий против хакера, если он вернет половину украденных средств.
В проектах становится популярным предлагать награды за ошибки хакерам, виновным в краже. Например, это произошло с хакерами, которые ранее в июне похитили 20 миллионов токенов Optimism (OP) у Wintermute и впоследствии вернули 17 миллионов из этих монет, что устроило обе стороны.
Harmony (ONE) также недавно предложила вознаграждение в размере 1 миллиона долларов за возвращение 100 миллионов долларов, которые были украдены из протокола моста Horizon 23 июня. Предложение Harmony также включает обещание не выдвигать уголовные обвинения против хакеров.