Llwyfan benthyca Ethereum XCarnival gadarnhau fe wnaeth actor drwg ddwyn $3.8 miliwn neu 3,087 ETH. Yn ôl adroddiad gan y cwmni diogelwch cadwyn Peck Shield, mae haciwr wedi manteisio ar fregusrwydd contract smart y protocol trwy fenthyca ETH a chreu “gorchmynion addewid lluosog i addo BAYC (Bored Ape Yacht Club NFTs) lawer gwaith”.
Darllen Cysylltiedig | Dywedodd Morgan Creek Ei Fod Mewn Cais I Sicrhau $250-M i Wrthsefyll Cymorth BlocFi FTX
Mae XCarnival yn gweithredu fel cronfa fenthyca tocyn anffyngadwy (NFT). Mae'r platfform yn galluogi deiliaid NFT i adneuo eu hasedau yn gyfnewid am hylifedd. Mae'r broses hon yn cynnwys tri chontract smart: rheolwr NFT, Rheolwr P2 i reoli cyfyngiadau benthyca, ac ariannu storio, fel Dywedodd gan gwmni diogelwch arall Go+ Security.
Prynodd yr haciwr eitem 5110 o gasgliad poblogaidd Bored Ape Yacht Club NFT ar OpenSea. Yn ddiweddarach, adneuodd yr ased hwn ar XCarnival a chynhaliodd ymosodiad i “ddefnyddio’r un NFT ar gyfer benthyca”.
Mewn geiriau eraill, roedd yr ymosodwr yn gallu addo'r NFT, benthyca ETH, ac yna tynnu'r NFT heb dalu'r benthyciad yn ôl. Cwblhaodd yr actor drwg y broses hon sawl gwaith nes bod y pwll wedi'i ddraenio.
Esboniodd Go + Security fod yr haciwr wedi creu contract smart Master a sawl contract smart “caethweision” i gynnal yr ymosodiad:
Yna tynnodd Slave 5338 yr NFT yn ôl a'i anfon yn ôl at Master, a ailadroddodd y broses hon gyda Chaethweision eraill. Yn y modd hwn fe wnaethant greu llawer o IDau archeb, y gellir eu defnyddio'n ddiweddarach fel manylion benthyca. Ond ni wnaeth contract xNFT bugged ddirymu'r cymhwyster ar ôl tynnu'n ôl.
XCarnifal's gweithredu gyda bregusrwydd ar ei gontractau smart, a grybwyllwyd uchod, sy'n galluogi'r ymosodiad os yw'r defnyddiwr yn aros o fewn rhai penodol. Ychwanegodd Go + Security ar yr ymosodiad a bregusrwydd y contract smart: “Mae cyfochrog yn dal yn ddilys ar ôl tynnu'n ôl. Mae hwn yn fyg syml a naïf iawn o ran gweithredu contractau.”
Yng ngoleuni'r ymosodiad llwyddiannus, penderfynodd protocol benthyca NFT sy'n seiliedig ar Ethereum gynnig bargen i'r haciwr.
Mae Platfform Ethereum yn Gwneud Bargeinion Gyda'i Ymosodwr
Yn ôl ei gyfrif Twitter swyddogol, cynigiodd yr XCarnival bounty o 1,500 ETH neu $1.8 miliwn i'r haciwr. Hanner yr arian sydd wedi'i ddwyn. Dim ond yr hanner arall oedd angen i'r ymosodwr ddychwelyd a bu'n rhaid iddynt gadw'r arian heb ddioddef unrhyw ganlyniadau cyfreithiol.
Cadarnhaodd y tîm y tu ôl i'r platfform fod yr haciwr wedi cytuno i'r telerau. Dychwelwyd hanner yr arian a ddygwyd i'r pwll. Mae platfform benthyca Ethereum yn honni bod “asiantaethau diogelwch wedi pennu lleoliad daearyddol yr haciwr yn betrus”.
Mae'n ymddangos bod y datganiad hwn yn awgrymu canlyniadau cyfreithiol posibl i'r ymosodwr, ond nid yw'r tîm y tu ôl i'r prosiect hwn wedi darparu mwy o wybodaeth eto.
7/8 Arian yn ôlhttps://t.co/oRwSsGgT6U pic.twitter.com/YgXZ9DTj03
— Tal Be'ery (@TalBeerySec) Mehefin 27, 2022
Nid dyma'r tro cyntaf i haciwr gytuno i ddychwelyd cyfran neu swm llawn yr arian sydd wedi'i ddwyn. Mae rhai hacwyr yn ymosod ar lwyfannau cyllid datganoledig (DeFi) ac yn aml yn dal y gwystl arian nes eu bod yn derbyn taliad am yr hyn yr oeddent yn ei ystyried yn “wasanaeth”. Mae prosiectau eraill yn llai ffodus ac yn talu'r pris eithaf.
Darllen Cysylltiedig | Harmony Dangles Gwobr $1M Am Adenillion O $100M o Gronfeydd Wedi'u Dwyn - A yw'n Ddigon?
Ar adeg ysgrifennu hwn, mae Ethereum (ETH) yn masnachu ar $1,180 gyda cholled o 3% yn y 24 awr ddiwethaf.
Ffynhonnell: https://bitcoinist.com/ethereum-platform-attacked-made-deal-the-hacker/