Autore dell’hackeraggio di XCarnival, aggregatore di prestiti per asset metaverso, ha accettato una ricompensa da 1,85 milioni di dollari per restituire i fondi sottratti.
Summary
L’hacker di XCarnival accetta un compenso
L’hacker autore del furto avvenuto lo scorso 26 giugno ai sistemi dell’aggregatore di prestiti per metaverso, XCarnival, ha accettato di restituire parte dei fondi rubati dietro il pagamento di un ricompensa da 1,85 milioni di dollari. L’aggregatore di prestiti per NFT e metaverso, aveva già recuperato il 50% dei 3,8 milioni di dollari persi ed ora ha deciso per il pagamento del riscatto per ricevere la parte restante.
Secondo le prime ricostruzioni fatte dalla società Peckshield, incaricata di investigare sul furto, un hacker avrebbe sfruttato una falla dello smart contract che ha consentito di utilizzare anche un bene impegnato come garanzia, in questo caso un Bored Ape Yacht Club NFT.
1/ @XCarnival_Lab was exploited in a flurry of txs (one hack tx: https://t.co/LUcxSU9UQn),
leading to the gain of 3,087 ETH (~$3.8M) for the hacker (The protocol loss may be larger). pic.twitter.com/mmGw5PQfbt— PeckShield Inc. (@peckshield) June 26, 2022
In un comunicato della società investigativa si legge:
“L’hacking è reso possibile consentendo a una NFT impegnata ritirata di essere ancora utilizzata come garanzia, che viene quindi sfruttata dall’hacker per drenare risorse dal pool”.
XCarnival was attacked on June 26, 2022 and suspended part of the protocol. XCarnival officials will give 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a owner 1500 ETH bounty.
At the same time, XCarnival officals explicitly exempt the person from legal action.By XCarnival team
— XCarnival (@XCarnival_Lab) June 27, 2022
In un comunicato pubblicato poco dopo l’attacco, XCarnival ha affermato:
“Attualmente il nostro contratto intelligente è stato sospeso, tutte le azioni di deposito e prestito non sono temporaneamente supportate, per favore rimanete sintonizzati, confermeremo la situazione il prima possibile”.
Quali sono state le ripercussioni del furto sulla piattaforma?
Dopo la notizia del furto il token nativo di XCarnival ha perso il 10%. La società permette ai propri utenti lauti guadagni, grazie ai prestiti di NFT ed altri asset digitali.
Inizialmente la società aveva offerto la ricompensa di 300.000 dollari ma l’hacker ha rilanciato con la richiesta di 1500 ETH accettata da XCarnival. Secondo le ultime rilevazioni di Etherscan, l’autore dell’hackeraggio avrebbe già restituito 1500 ETH circa, dei 1800 ancora in suo possesso.
Evidentemente gli hacker sembrano puntare con decisione alle società di prestiti di asset digitali, considerando che dieci giorni fa, era stata la volta di Inverse Financial, società DeFi specializzata in prestiti di criptovalute, a subire un attacco hacker che aveva fruttato circa 1,26 milioni di dollari all’autore del furto.
1/ @InverseFinance was exploited in https://t.co/OaCemQfWug,
leading to the gain of ~$1.26M for the hacker (The protocol loss may be larger).— PeckShield Inc. (@peckshield) June 16, 2022
La stessa società aveva già subito un attacco hacker che aveva sottratto dai conti della società circa 15 milioni di dollari.