Ethereum ekosistemindeki likidite sağlayıcısı XCarnival, protokolün 3.087 ETH (yaklaşık 3,8 milyon dolar) zarara uğramasına yol açan güvenlik zafiyetinden yalnızca bir gün sonra 1.467 Ether'i (ETH) kurtarmayı başardı.

Blockchain soruşturma platformu Peckshield, toplamda 3.087 ETH'nin çalınmasıyla sonuçlanan bir yığın işlem ile karşılaşarak XCarnival siber saldırısını fark eden isim oldu. Peckshield, yaşanan siber saldırıyı şöyle tarif etti:

“Bu siber saldırı, teminattaki çekilen NFT'lerin hala teminat olarak kullanılabilmesine izin verilmesi nedeniyle mümkün oldu, hacker da bu zafiyeti havuzdan tüm varlıkları çekmek için kullandı."

XCarnival, açıklamadan kısa süre sonra kullanıcıları siber saldırı hakkında bilgilendirdi ve hizmetlerinin bir kısmını askıya aldı. Protokol, hacker'a yasal yollara başvurmama sözüne ek olarak  1.500 ETH ödül de vadetti.

XCarnival, siber saldırıyı mümkün kılan hatayı tespit edip düzeltene kadar akıllı sözleşmeleri ve yatırma ve kredi özelliklerini durdurduğunu açıkladı. Peckshield'a göre hacker, Bored Ape Yacht Club (BAYC) koleksiyonundan daha önce teminat olarak kullanılmış ve çekilmiş NFT'leri yeniden teminat olarak kullandı ve söz konusu varlıkları çekti.

Çalınan XCarnival fonlarının transferini gösteren akış grafiği. Kaynak: Peckshield

XCarnival siber saldırganının cüzdanında saldırı sonrası tespit edilen 3.087 ETH'nin yerinde ise yeller esiyor. Cüzdanda çeviri yayın saati itibarıyla 0 ETH bulunuyor.

XCarnival siber saldırganının ETH cüzdan bakiyesi. Kaynak: etherscan.io