XCarnival, называющий себя банком активов Metaverse, потерял более 3087 ETH из-за хакера и договорился о возврате половины средств менее чем через 24 часа после инцидента.
Воспользовавшись недостатком своего смарт-контракта, злоумышленник использовал NFT Bored Ape Yacht Club, который уже был снят после передачи в залог при помощи кредитных услуг на платформе. Одна и та же транзакция повторялась несколько раз, пока наблюдатель не предупредил систему XCarnival. После чего операции смарт-контракты, кредитование и заимствование немедленно приостановились.
Платформа, потери которой могли быть намного выше, была предупреждена компанией PeckShield, занимающейся безопасностью блокчейна и аналитикой данных. По словам PeckShield, первоначальная сумма, использованная для атаки, составляла 120 ETH, которые хакеры вывели из Tornado Cash.
Впоследствии наблюдатель предоставил более подробную информацию в серии твитов о том, как был осуществлен взлом.
«Взлом стал возможен благодаря тому, что снятый заложенный NFT по-прежнему использовался в качестве залога, который затем использовался хакером для слива активов из пула», — говорится в одном из его твитов.
Спустя почти 12 часов после атаки XCarnival попросил хакера вернуть украденные средства, предложил вознаграждение в размере 1500 ETH и пообещал освобождение от судебного иска. Согласно данным блокчейна, эксплуататор принял предложение после переговоров о вознаграждении, которое началось с суммы в 250 ETH и остановилось на 1500 ETH.
Торговля NFT резко выросла с менее чем 200 миллионов долларов в 2020 году до 40 миллиардов долларов в 2021 году. Следовательно, в этой сфере также участились случаи такого воровства и плагиата. В начале этого месяца генеральный директор одной из крупнейших торговых площадок NFT — OpenSea — Дерин Финцер (Derin Finzer) обозначил необходимость инвестиций в безопасность, в частности, в таких областях, как предотвращение краж и мошенничества.