Hacker geeft helft van gestolen fondsen van XCarnival terug

Eerder werd het NFT-leenprotocol genaamd XCarnival gehackt. Hier kon een hacker 3.087 Ethereum (ETH), met een waarde van destijds $3.8 miljoen.

Gebruik van exploit

XCarnival is een NFT-leenprotocol waarmee gebruikers geld kunnen uitlenen. Dit door hun verzamelobjecten als onderpand voor de leningen te gebruiken. Afgelopen zondag wist een hacker op hun platform in te breken en 3.087 ETH te stelen.

Nadat er onderzoek uitgevoerd was bleek dat de aanvaller gebruik kon maken van een exploit, waardoor hij hetzelfde NFT-onderpand meerdere keren kon gebruiken.

Zo gebruikte de aanvaller de NFT ‘Bored Ape #5110’ als onderpand, waarmee hij vervolgens geld leende. Normaliter moet de NFT die als onderpand gebruikt wordt, opgesloten zijn totdat de lening volledig terugbetaald is. De hacker was echter in staat om het onderpand van Bored Ape in te trekken zonder de lening terug te betalen en het te gebruiken om een nieuwe lening aan te gaan. Deze actie werd verschillende keren uitgevoerd, waardoor in totaal 3.087 ETH uit het protocol werd gestolen.

Premie voor vinden kwetsbaarheid

In eerste instantie heeft XCarnival contact opgenomen met de betreffende hacker. Hierin werd gevraagd om de gestolen fondsen terug te storten, waarvoor de hacker een premie zou ontvangen van $300.000. Na onderhandelingen werd dit bod verhoogd tot de helft van de gestolen fondsen, waar de hacker akkoord mee is gegaan.

Naar verluidt heeft de wallet van de hacker nu nog 1.500 ETH als saldo. Hiermee is iets meer dan de helft van het gestolen bedrag teruggegeven.

Door akkoord te gaan met het aanbod van het NFT-leenplatform, zullen zij geen rechtshandhavingsacties tegen de hacker ondernemen. Hiermee heeft de cyberaanvaller een aanzienlijk bedrag voor zichzelf weten veilig te stellen, zonder enige consequenties.