Die „Metaverse Asset Bank“, Carnival, erlebte in großer Zahl einen Smart-Contract-Exploit Transaktionen und führte zu einem Gewinn von rund 3,000 ETH, indem ein Hacker eine Lösung fand, die den Schaden an der Plattform verringerte und den Hacker besser aussehen ließ, pro PeckShield Inc.
Wie kam es zu dem Hack?
Der Fehler im Code der Plattform ermöglichte es Hackern, sich zurückzuziehen verpfändet NFTs erwerben und als Sicherheit verwenden. Der Mechanismus wurde später genutzt, um Vermögenswerte aus dem Pool abzuleiten. Das Hauptproblem war die mangelnde Beurteilung im Vertrag, der nicht prüfte, ob der verpfändete NFT vom Kreditnehmer zurückgezogen wurde.
Wie immer erhielt der Hacker sein Geld von der Münzmischlösung Tornado Cash, wodurch er völlig anonym bleiben konnte. Möglicherweise hätte der Ausbeuter die gestohlenen Gelder leicht waschen und unter dem Radar bleiben und sie später irgendwie in Fiat umwandeln können.
Das gute Ende
Zum Glück für Plattformbenutzer und das Managementteam stimmte der Hacker der Rückgabe der Hälfte der gestohlenen Gelder nur unter einer Bedingung zu: Wenn die gesamte Exploit-Geschichte als „Bug Bounty“ betrachtet würde, würde er alle zukünftigen Klagen vermeiden.
Es scheint, dass die restlichen 1467 ETH gerade zurückgegeben wurden. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
- PeckShield Inc. (@peckshield) 27. Juni 2022
Er bat den CEO von Carnival, dem Besitzer der Adresse mit der Endung „B800a“ ein Kopfgeld von 1,500 ETH als Gegenleistung für die gestohlenen Gelder zu gewähren. Im Wesentlichen zahlte die Plattform dem Hacker ein Bug-Bounty in Höhe von 1.8 Millionen US-Dollar, was als mehr als gilt großzügig.
Seit Jahresbeginn ist die Zahl der Exploits und Hacks verschiedener DeFi-Plattformen und NFT-Sammlungen deutlich zurückgegangen, was höchstwahrscheinlich auf die sinkende Beliebtheit beider Branchen und einen Absturz des Kryptowährungsmarktes im Mai und Juni zurückzuführen ist.
Quelle: https://u.today/hacker-stole-nfts-worth-3000-eth-and-then-returned-half-of-it-heres-how