Protocole de prêt piraté XCarnival reçoit 1,9 million de dollars d’ETH volés

Dans un développement rapide, XCarnival, se décrivant comme une Metaverse Asset Bank, a perdu plus de 3 087 ETH au profit d’un pirate informatique et a négocié le retour de la moitié des fonds moins de 24 heures après l’incident.

Exploitant une faille dans son contrat intelligent, l’attaquant a utilisé un Bored Ape Yacht Club NFT, qui a déjà été retiré après avoir été mis en gage, comme garantie pour emprunter à la plateforme. La même transaction a été répétée plusieurs fois jusqu’à ce qu’un chien de garde alerte XCarnival, qui a rapidement suspendu les opérations – contrats intelligents, prêts et emprunts.

Alerte de Watchdog

La plate-forme pour laquelle la perte peut être beaucoup plus élevée a été alertée par la société de sécurité blockchain et d’analyse de données PeckShield. Le montant initial utilisé pour l’attaque était de 120 ETH que les pirates ont retirés de Tornado Cash, a déclaré PeckShield.

Par la suite, le chien de garde a fourni plus de détails dans une série de tweets sur la façon dont le piratage a été réussi.

« Le piratage est rendu possible en permettant à un NFT retiré en gage d’être encore utilisé comme garantie, qui est ensuite exploité par le pirate pour drainer les actifs du pool », a-t-il déclaré dans l’un de ses tweets.

Près de 12 heures après l’attaque, XCarnival a demandé au pirate informatique de restituer les fonds volés, a offert une prime de 1 500 ETH et a promis une exemption de poursuites judiciaires. Selon les données de la blockchain, l’exploiteur a accepté l’offre après une négociation de prime qui a commencé avec 250 ETH et s’est établie à 1 500 ETH.

Prévention contre le vol et les escroqueries

Dans un incident similaire, Bored Ape #8398 de la personnalité hollywoodienne Seth Green, volé lors d’une attaque de phishing le 17 mai, a été négocié pour le retour. Green aurait payé 165 ETH (environ 300 000 $) pour le NFT à son nouveau propriétaire, qui l’avait acheté pour 200 000 $ de bonne foi, ignorant qu’il s’agissait d’un vol.

Fred Simian, comme Green avait nommé le personnage de NFT, devait être utilisé comme personnage principal dans l’une de ses émissions à venir – White Horse Tavern.

Le commerce NFT est passé de moins de 200 millions de dollars en 2020 à 40 milliards de dollars en 2021. Par conséquent, les cas de vol et de plagiat ont également augmenté dans cet espace. Au début de ce mois, le PDG de l’un des plus grands marchés NFT – OpenSea – Derin Finzer, a souligné la nécessité d’investir dans la confiance et la sécurité dans des domaines tels que le vol et la prévention des escroqueries, entre autres.