एथेरियम ऋण देने वाला प्लेटफ़ॉर्म XCarnival की पुष्टि की एक बुरे अभिनेता ने $3.8 मिलियन या 3,087 ETH चुरा लिया। ऑन-चेन सुरक्षा फर्म पेक शील्ड की एक रिपोर्ट के अनुसार, एक हैकर ने ईटीएच उधार लेकर और "कई बार BAYC (बोर एप यॉट क्लब एनएफटी) को गिरवी रखने के लिए कई प्रतिज्ञा आदेश" बनाकर प्रोटोकॉल के स्मार्ट अनुबंध पर भेद्यता का फायदा उठाया।
संबंधित पढ़ना | मॉर्गन क्रीक ने एफटीएक्स ब्लॉकफाई बेलआउट का मुकाबला करने के लिए $ 250-एम सुरक्षित करने के लिए बोली लगाने के लिए कहा
XCarnival एक अपूरणीय टोकन (NFT) ऋण पूल के रूप में कार्य करता है। प्लेटफ़ॉर्म एनएफटी धारकों को तरलता के बदले में अपनी संपत्ति जमा करने में सक्षम बनाता है। इस प्रक्रिया में तीन स्मार्ट अनुबंध शामिल हैं: एक एनएफटी प्रबंधक, उधार प्रतिबंधों को प्रबंधित करने के लिए एक पी2कंट्रोलर, और फंड भंडारण, जैसे वर्णित एक अन्य सुरक्षा फर्म Go+ Security द्वारा।
हैकर ने ओपनसी पर लोकप्रिय बोरेड एप यॉट क्लब एनएफटी संग्रह से आइटम 5110 खरीदा। बाद में, उन्होंने इस संपत्ति को एक्सकार्निवल पर जमा कर दिया और "उधार लेने के लिए उसी एनएफटी का उपयोग करने" के लिए हमला किया।
दूसरे शब्दों में, हमलावर एनएफटी को गिरवी रखने, ईटीएच उधार लेने और फिर ऋण का भुगतान किए बिना एनएफटी को हटाने में सक्षम था। बुरे अभिनेता ने इस प्रक्रिया को कई बार पूरा किया जब तक कि पूल खत्म नहीं हो गया।
गो+ सिक्योरिटी ने बताया कि हैकर ने हमले को अंजाम देने के लिए एक मास्टर स्मार्ट कॉन्ट्रैक्ट और कई "गुलाम" स्मार्ट कॉन्ट्रैक्ट बनाए:
फिर स्लेव 5338 ने एनएफटी वापस ले लिया और इसे मास्टर को वापस भेज दिया, जिसने फिर अन्य दासों के साथ इस प्रक्रिया को दोहराया। इस तरह उन्होंने कई ऑर्डरआईडी बनाए, जिन्हें बाद में ऋण देने के क्रेडेंशियल के रूप में उपयोग किया जा सकता है। लेकिन खराब xNFT अनुबंध ने वापसी के बाद क्रेडेंशियल को रद्द नहीं किया।
एक्सकार्निवल का संचालित इसके स्मार्ट कॉन्ट्रैक्ट्स पर एक भेद्यता है, जिसका उल्लेख ऊपर किया गया है, जो उपयोगकर्ता के एक निश्चित सीमा के भीतर रहने पर हमले को सक्षम बनाता है। गो+ सिक्योरिटी ने हमले और स्मार्ट अनुबंध भेद्यता पर जोड़ा: “वापस लेने के बाद भी संपार्श्विक वैध है। यह अनुबंध कार्यान्वयन में एक बहुत ही सरल और अनुभवहीन बग है।"
सफल हमले के आलोक में, एथेरियम-आधारित एनएफटी ऋण प्रोटोकॉल ने हैकर को एक सौदे की पेशकश करने का निर्णय लिया।
एथेरियम प्लेटफ़ॉर्म अपने हमलावर के साथ सौदा करता है
अपने आधिकारिक ट्विटर अकाउंट के अनुसार, XCarnival ने हैकर को 1,500 ETH या $1.8 मिलियन का इनाम देने की पेशकश की। आधा चुराया गया धन। हमलावर को केवल बाकी आधा हिस्सा लौटाने की जरूरत थी और उन्हें पैसे रखने होंगे और कोई कानूनी परिणाम नहीं भुगतना होगा।
प्लेटफ़ॉर्म के पीछे की टीम ने पुष्टि की कि हैकर शर्तों से सहमत है। चुराई गई आधी धनराशि पूल में वापस कर दी गई। एथेरियम ऋण देने वाले प्लेटफ़ॉर्म का दावा है कि "सुरक्षा एजेंसियों ने हैकर की भौगोलिक स्थिति को अस्थायी रूप से निर्धारित कर लिया है"।
यह कथन हमलावर के लिए संभावित कानूनी परिणामों का संकेत देता प्रतीत होता है, लेकिन इस परियोजना के पीछे की टीम ने अभी तक अधिक जानकारी प्रदान नहीं की है।
7/8 धनराशि वापस कर दी गईhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
- ताल बेरी (@TalBeerySec) 27 जून 2022
यह पहली बार नहीं है कि कोई हैकर चुराए गए धन का एक हिस्सा या पूरी राशि वापस करने के लिए सहमत हुआ है। कुछ हैकर्स विकेंद्रीकृत वित्त (डीएफआई) प्लेटफार्मों पर हमला करते हैं और अक्सर पैसे को तब तक बंधक बनाकर रखते हैं जब तक कि उन्हें उस चीज़ के लिए भुगतान प्राप्त नहीं हो जाता जिसे वे "सेवा" मानते हैं। अन्य परियोजनाएं कम भाग्यशाली हैं और अंतिम कीमत चुकाती हैं।
संबंधित पढ़ना | $ 1 मिलियन चोरी किए गए फंड की वापसी के लिए सद्भाव $ 100 मिलियन का इनाम - क्या यह पर्याप्त है?
लेखन के समय, Ethereum (ETH) पिछले 1,180 घंटों में 3% की हानि के साथ $ 24 पर ट्रेड करता है।
स्रोत: https://bitcoinist.com/ewhereum-platform-attacked- made-deal-the-hacker/