Der Ethereum-Liquiditätsanbieter XCarnival verhandelt über die Rückgabe von 50 % der gestohlenen ETH

XCarnival, ein Liquiditätsanbieter für das Ethereum-Ökosystem, hat 1,467 Ether (ETH) nur einen Tag nach einem Exploit, der 3,087 ETH im Wert von etwa 3.8 Millionen US-Dollar aus dem Protokoll entzogen hat.

Blockchain-Ermittler Peckshield bemerkt Der XCarnival-Hack stieß auf einen Strom von Transaktionen, der schließlich 3,087 ETH aus dem Protokoll verlor. Peckshield erklärte die Art des Exploits:

„Der Hack wird ermöglicht, indem zugelassen wird, dass eine zurückgezogene verpfändete NFT weiterhin als Sicherheit verwendet wird, die dann vom Hacker ausgenutzt wird, um Vermögenswerte aus dem Pool zu entziehen.“

Kurz nach der Enthüllung informierte XCarnival die Benutzer proaktiv über den Hack und stellte gleichzeitig einen Teil seiner Dienste vorübergehend ein, um dem lästigen Angriff entgegenzuwirken. Das Protokoll bot dem Hacker außerdem 1,500 ETH als Kopfgeld und Befreiung von Gerichtsverfahren.

XCarnival wurde am 26. Juni 2022 angegriffen und ein Teil des Protokolls ausgesetzt. XCarnival-Beamte geben 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a dem Besitzer eine Prämie von 1500 ETH.
Gleichzeitig stellen die Offiziellen von XCarnival die Person ausdrücklich von rechtlichen Schritten frei.
Vom XCarnival-Team
— XCarnival (@XCarnival_Lab) 27. Juni 2022

Schließlich setzte XCarnival die Smart Contracts sowie die Einzahlungs- und Kreditfunktionen aus, bis der interne Fehler, der den Hack ermöglichte, identifiziert und behoben werden konnte. Laut Packshield nutzte der Hacker ein zuvor zurückgezogenes Pfand nicht fungibles Token (NFT) aus der Sammlung des Bored Ape Yacht Club (BAYC) als Sicherheit für die Abschöpfung des Vermögens.

Flussdiagramm, das die Überweisung der gestohlenen XCarnival-Gelder zeigt. Quelle: Peckshield

Während das Wallet des XCarnival-Hackers nach dem Hack das Vorhandensein von 3,087 ETH anzeigte, scheinen die restlichen Gelder erfolgreich abgeschöpft worden zu sein – wobei das Wallet zum Zeitpunkt des Schreibens 0 ETH anzeigte.

ETH-Wallet-Guthaben des XCarnival-Hackers. Quelle: etherscan.io

XCarnival kündigte Pläne an, zu gegebener Zeit Einzelheiten zur Situation preiszugeben.

Was die Geschichte des Jahres hätte werden können, erwies sich als Enttäuschung, nachdem ein White-Hat-Hacker versucht hatte, ein gesperrtes Telefon voller Bitcoins wiederherzustellen (BTC) führte zur Entdeckung von lediglich 0.00300861 BTC.

Wie Cointelegraph berichtete, reiste Joe Grand, ein Computeringenieur und Hardware-Hacker, von Portland nach Seattle, um möglicherweise BTC von einem Samsung Galaxy SIII-Telefon des örtlichen Busbetreibers Lavar wiederherzustellen.

Durch akribische Anstrengungen, die Mikrolöten, das Herunterladen des Speichers und die Entdeckung des Wischmusters von Samsung für den Zugriff umfassten, öffnete Lavar seine MyCelium-Bitcoin-Wallet und entdeckte nur 0.00300861 BTC – damals 105 US-Dollar wert, zum Zeitpunkt der Veröffentlichung waren es etwa 63 US-Dollar.