پلتفرم کارنیوال (Carnival)، که تلاش دارد نقش نوعی «بانک داراییهای متاورس» را بازی کند، مورد حمله هکری قرار گرفت که با استفاده از ضعف قرارداد هوشمند آن، انبوهی از تراکنشها را به قرارداد هوشمند کارنیوال ارسال کرد و توانست حدود ۳٬۰۰۰ ETH را به سرقت ببرد. اما به گزارش شرکت امنیتی پکشیلد (PeckShield)، این هکر حدود نیمی از این مقدار اتر را به کارناول بازگردانده است.
به گزارش میهن بلاکچین و به نقل از یوتودی، ضعف موجود در قرارداد هوشمند پلتفرم کارنیوال به هکر اجازه داد از NFTهای قرضی (Pledged NFT) به عنوان وثیقه برای دریافت وام و پس از آن تخلیه داراییهای استخر استفاده کند. ضعف اصلی قرارداد هوشمند این بود که بررسی نمیکرد آیا NFT قرضی توسط وامگیرنده برداشت شده است یا خیر:
مطابق معمول هکر دارایی سرقتی را به سرویس تورنادو کش منتقل کرد که به هکر این امکان را میدهد که هویت خود را مخفی نگه دارد و خروجی تورنادو کش را به ارز فیات تبدیل کند.
با این حال هکر موافقت کرد که نیمی از دارایی به سرقت رفته را به شرط اینکه نیم دیگر «پاداش عیبیابی» تلقی شود و از تمام شکایتها در آینده اجتناب شود، به تیم کارنیوال بازگرداند. هکر از مدیر عامل Carnival خواست تا به صاحب آدرسی که به «B800a» ختم میشود، ۱۵۰۰ ETH پاداش بدهد. و مدیر عامل کارنیوال هم با این درخواست هکر موافقت کرد:
در خواست ۱۵۰۰ ETH قابل قبول است، لطفا ۱۴۶۷ اتر باقیمانده را به این آدرس برگردان.
بنابر گزارش پکشیلد هکر این تعداد اتر را به آدرس کارنیوال بازگردانده است. به این ترتیب این پلتفرم حدود ۱.۸ میلیون دلار پاداش عیبیابی به هکر پرداخت کرده است که پاداش بسیار سخاوتمندانهای محسوب میشود.
از ابتدای سال جاری میلادی، تعداد اکسپلویتها و هکهای پلتفرمهای مختلف دیفای و مجموعههای NFT به میزان قابل توجهی کاهش یافته است، که به احتمال زیاد دلیل آن کاهش محبوبیت هر دو صنعت و سقوط بازار در ماههای می و ژوئن (اردیبهشت و خرداد) است.
