In einer rasanten Entwicklung verlor XCarnival, das sich selbst als Metaverse Asset Bank bezeichnet, über 3.087 ETH an einen Hacker und verhandelte die Rückgabe der Hälfte der Gelder weniger als 24 Stunden nach dem Vorfall.
Der Angreifer nutzte einen Fehler in seinem Smart Contract aus und nutzte einen Bored Ape Yacht Club NFT, der bereits nach der Verpfändung zurückgezogen wurde, als Sicherheit, um sich von der Plattform zu leihen. Dieselbe Transaktion wurde mehrmals wiederholt, bis ein Watchdog XCarnival alarmierte, das die Operationen – Smart Contracts, Kreditvergabe und Kreditaufnahme – umgehend unterbrach.
Warnung von Watchdog
Die Plattform, bei der der Verlust viel höher sein kann, wurde vom Blockchain-Sicherheits- und Datenanalyseunternehmen PeckShield gewarnt. Der anfängliche Betrag, der für den Angriff verwendet wurde, betrug 120 ETH, die die Hacker von Tornado Cash abgehoben hatten, sagte PeckShield.
Anschließend lieferte der Wachhund in einer Reihe von Tweets weitere Details darüber, wie der Hack durchgeführt wurde.
„Der Hack wird ermöglicht, indem zugelassen wird, dass eine zurückgezogene verpfändete NFT weiterhin als Sicherheit verwendet wird, die dann vom Hacker ausgenutzt wird, um Vermögenswerte aus dem Pool abzuziehen“, heißt es in einem seiner Tweets.
Fast 12 Stunden nach dem Angriff forderte XCarnival den Hacker auf, die gestohlenen Gelder zurückzugeben, bot eine Prämie von 1.500 ETH an und versprach die Befreiung von rechtlichen Schritten. Laut Blockchain-Daten nahm der Exploiter das Angebot nach einer Prämienverhandlung an, die mit 250 ETH begann und sich auf 1.500 ETH einpendelte.
Diebstahl- und Betrugsprävention
In einem ähnlichen Vorfall wurde die Rückgabe von Bored Ape #8398 der Hollywood-Persönlichkeit Seth Green, die bei einem Phishing-Angriff am 17. Mai gestohlen wurde, ausgehandelt. Berichten zufolge zahlte Green 165 ETH (ca. 300.000 USD) für den NFT an seinen neuen Besitzer, der ihn in gutem Glauben für 200.000 USD gekauft hatte, ohne zu wissen, dass es sich um einen gestohlenen handelte.
Fred Simian, wie Green die NFT-Figur genannt hatte, sollte als Hauptfigur in einer seiner kommenden Shows – White Horse Tavern – verwendet werden.
Der NFT-Handel ist von unter 200 Millionen US-Dollar im Jahr 2020 auf 40 Milliarden US-Dollar im Jahr 2021 sprunghaft angestiegen. Folglich haben Fälle von solchem Diebstahl und Plagiaten auch in diesem Bereich zugenommen. Anfang dieses Monats skizzierte der CEO eines der größten NFT-Marktplätze – OpenSea – Derin Finzer, die Notwendigkeit von Trust and Safety-Investitionen unter anderem in Bereichen wie Diebstahl und Betrugsprävention.