XCarnival, поставщик ликвидности для экосистемы Ethereum, восстановил 1467 эфиров (ETH) всего за день после взлома, который истощил 3087 эфиров на сумму около 3,8 миллиона долларов из протокола.

Исследователь блокчейна Peckshield заметил взлом XCarnival, когда обнаружил поток транзакций, в результате которых из протокола было украдено 3087 ETH. Объясняя природу эксплойта, Peckshield заявил:

«Взлом стал возможен благодаря тому, что снятый заложенный NFT все еще используется в качестве залога, который затем используется хакером для слива активов из пула».

Вскоре после разоблачения XCarnival заранее проинформировал пользователей о взломе, временно приостановив работу части своих сервисов, чтобы противостоять надоедливой атаке. Протокол также предлагал хакеру 1500 ETH в качестве вознаграждения в дополнение к освобождению от судебного разбирательства.

XCarnival подвергся нападению 26 июня 2022 года и приостановил часть протокола. Официальные лица XCarnival дадут владельцу 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a вознаграждение в размере 1500 ETH.
В то же время официальные лица XCarnival прямо освобождают человека от судебного преследования.

От команды XCarnival

— XCarnival (@XCarnival_Lab) 27 июня 2022 г.

В конце концов, XCarnival приостановил работу смарт-контрактов, а также функций депозита и заимствования до тех пор, пока не сможет выявить и исправить внутреннюю ошибку, которая сделала возможным взлом. По данным Packshield, хакер использовал ранее изъятый ​​заложенный NFT из коллекции яхт-клуба Bored Ape (BAYC) в качестве залога для вывода активов.

Блок-схема, показывающая перевод украденных средств XCarnival. Источник: Пекшилд
Блок-схема, показывающая перевод украденных средств XCarnival. Источник: Пекшилд

В то время как кошелек хакера XCarnival показал наличие 3087 ETH после взлома, оставшиеся средства, кажется, были успешно перекачаны — с кошельком, показывающим 0 ETH на момент написания.

Баланс кошелька ETH хакера XCarnival. Источник: etherscan.io
Баланс кошелька ETH хакера XCarnival. Источник: etherscan.io

XCarnival объявил о планах раскрыть подробности о ситуации в ближайшее время.

То, что могло бы стать историей года, оказалось разочарованием после того, как попытки хакера в белой шляпе восстановить заблокированный телефон, полный биткойнов (BTC), привели к обнаружению всего 0,00300861 BTC.

Как сообщал Cointelegraph, Джо Гранд, компьютерный инженер и хакер по аппаратному обеспечению, отправился из Портленда в Сиэтл, чтобы потенциально восстановить BTC с телефона Samsung Galaxy SIII, принадлежащего Лавару, местному автобусному оператору.

Тщательные усилия, которые включали микропайку, загрузку памяти и обнаружение шаблона доступа Samsung, Лавар открыл свой биткойн-кошелек MyCelium и обнаружил только 0,00300861 BTC — на тот момент это стоило 105 долларов, а на момент публикации — примерно 63 доллара.

Источник