O XCarnival, um provedor de liquidez para o ecossistema Ethereum, recuperou 1.467 Ether (ETH) apenas um dia depois de sofrer uma exploração que drenou 3.087 ETH, no valor de aproximadamente US$3,8 milhões, do protocolo.
O investigador de blockchain, Peckshield, notou o hack do XCarnival ao se deparar com um fluxo de transações que eventualmente sangrou 3.087 ETH do protocolo. Explicando a natureza do exploit, Peckshield declarou:
“O hack é possível ao permitir que uma NFT prometida retirada ainda seja usada como garantia, que é então explorada pelo hacker para drenar ativos do pool.”
Logo após a revelação, o XCarnival informou proativamente os usuários sobre o hack enquanto suspendia temporariamente uma parte de seus serviços para combater o ataque. O protocolo também ofereceu ao hacker 1.500 ETH como recompensa, além de oferecer isenção de processos judiciais.
XCarnival was attacked on June 26, 2022 and suspended part of the protocol. XCarnival officials will give 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a owner 1500 ETH bounty.
At the same time, XCarnival officals explicitly exempt the person from legal action.By XCarnival team
— XCarnival (@XCarnival_Lab) June 27, 2022
Eventualmente, o XCarnival suspendeu os contratos inteligentes e recursos de depósito e empréstimo até que pudesse identificar e corrigir o bug interno que possibilitou o hack. De acordo com Packshield, o hacker usou um token não fungível (NFT) prometido anteriormente retirado da coleção Bored Ape Yacht Club (BAYC) como garantia para drenar os ativos.
Enquanto a carteira do hacker do XCarnival mostrou a presença de 3.087 ETH após o hack, os fundos restantes parecem ser desviados com sucesso – com a carteira mostrando 0 ETH atualmente.
O XCarnival anunciou planos para revelar detalhes sobre a situação no futuro. O que poderia ter sido a história do ano acabou sendo uma decepção depois que os esforços de um hacker white hat para recuperar um telefone bloqueado cheio de Bitcoin (BTC) resultaram na descoberta de apenas 0,00300861 BTC.
Joe Grand, engenheiro de computação e hacker de hardware, viajou de Portland a Seattle para potencialmente recuperar o BTC de um telefone Samsung Galaxy SIII de propriedade da Lavar, uma operadora de ônibus local.
Esforços meticulosos que envolveram microssoldagem, download da memória e descoberta do padrão de furto da Samsung para acesso, Lavar abriu sua carteira MyCelium Bitcoin e descobriu apenas 0,00300861 BTC – no valor de US$105 na época, para cerca de US$63 atualmente.