NFT 質押協議 XCarnival 於 26日晚間遭攻擊,駭客得手 3,087 枚 ETH,而今日官方疑似宣稱與駭客達成協議,將獎勵駭客 1500 ETH 以及免除其法律責任作為歸還資產的要求。攻擊消息一出後,XCV 代幣下跌了 13.69 %。
(前情提要:比爾蓋茲撿到槍:NFT、加密貨幣是基於「博傻理論」的騙局)
(背景補充:Gucci投資NFT|購2.5萬鎂RARE加入SuperRareDAO、啟動Vault Art Space展覽)
以太坊 NFT 質押協議 XCarnival 昨(26)晚 9 點左右傳遭攻擊,派盾發推特表示駭客錢包共獲利 3,087 枚 ETH(約 380 萬美元),考慮到質押流動性與協議清算問題,協議損失數字恐遠超過這個金額。
派盾表示,本次攻擊或許為合約漏洞,造成某重入攻擊可能實現已解除抵押的 NFT 仍被智能合約視為抵押品,因此可以無償借出協議中近乎所有的流動性。駭客 2,967 ETH 轉移至另一錢包,而剩下 120 ETH 則轉入至混幣器 Tornado.Cash 中。
XCarnival 昨(26)晚於 10 點 07 分發佈緊急公告,稱已暫停智能合約與存款(FNT)、借款功能,並表示會盡快確認具體情況。
1/ @XCarnival_Lab was exploited in a flurry of txs (one hack tx: https://t.co/LUcxSU9UQn),
leading to the gain of 3,087 ETH (~$3.8M) for the hacker (The protocol loss may be larger). pic.twitter.com/mmGw5PQfbt— PeckShield Inc. (@peckshield) June 26, 2022
與駭客達成協議?
今(27)日早上 9 點 18 分,XCarnival 也發出公告,向攻擊者呼籲將提供 1,500 ETH 的獎勵,並免除對其的法律訴訟,疑似為已經與駭客達成協商,作為歸還資產的條件。不過該作法也引起了部分網友的質疑,稱是否為監守自盜,或者質疑駭客這種先攻擊再要求拿到白帽駭客賞金的行為。
XCarnival 是 NFT 借貸協議,可質押 NFT 借出 以太坊,而為了使可借池中有足夠的以太坊流動性, XCarnival 提供了可觀的 ETH 存款報酬率,據 XCarnival 6 月 23 號推文宣稱 APY 達到 41.31%,其中 ETH APY 為 0.09 %,XCV 代幣部分為 41.22 %。
駭入事件曝光後,XCarnival(XCV)代幣也出現崩跌現象,自昨晚晚間 9 點的 0.01168 美元,崩跌至 0.01008 美元,最大跌幅超過 13.69 %,自截稿時間暫收 0.01016 美元。
Tell me this was an inside job , without saying it was an inside job…
A+, 5 stars
— Empanada Mamada (@EmpanadaMamada) June 27, 2022
现在流行 监守自盗外加然后有偿物归原主?#HarmonyONE #XCarnival
— 高手的名字有点长 (@Gaoshoudemingzi) June 27, 2022
【27號下午 2 點後續更新】
駭客已經接受 XCarnival官方的要求,並且已經將剩下 1467 ETH轉入指定地址,並在以太坊區塊鏈留言稱 1500 ETH的報酬是可以接受的:
It seems the remaining 1467 ETH are just returned. @XCarnival_Lab https://t.co/k44zakkAvB https://t.co/h5OKcVM9PN pic.twitter.com/rnUiZyATNJ
— PeckShield Inc. (@peckshield) June 27, 2022
📍相關報導📍
Yuga Labs聘佳士得NFT高管「擔任CryptoPunks品牌負責人」地板價勁揚36%!