XCarnival, một giao thức cho vay bằng NFT trên nền tảng blockchain Ethereum, vừa thông báo đã thu hồi được 50% tài sản từ vụ hack 3.087 ETH (trị giá 3,8 triệu USD) diễn ra vào ngày 26/06/2022. Cụ thể, hacker đã trả lại 1.467 ETH cho XCarnival vào chiều ngày 27/06/2022 sau khi XCarnival xác nhận hacker có thể giữ lại 1.500 ETH từ vụ hack này như phần thưởng phát hiện ra lỗ hổng bảo mật.
Theo phân tích của Peck Shield, vào ngày 26/06/2022, hacker đã khai thác lỗ hổng trong hợp đồng cho vay ETH của XCarnival và rút đi 3.087 ETH bằng cách sử dụng Bored Ape Yacht Club NFT làm tài sản thế chấp.
Theo lý thuyết, khi một NFT được dùng làm tài sản thế chấp thì sẽ bị khóa lại cho đến khi khoản vay được hoàn trả. Nhưng trong trường hợp này, hacker đã khai thác lỗ hổng bảo mật để có thể rút một NFT đang cầm cố ra mà không cần phải trả lại số tiền đã vay trước đó. Quá trình này được lặp lại nhiều lần trong thời gian ngắn và hacker đã lấy đi 3.087 ETH từ XCarnival.
Hiện tại, XCarnival đã ngừng tất cả các hợp đồng thông minh trên hệ thống, do đó người dùng sẽ không thể ký quỹ và vay tiền trong thời gian này. Thời gian mở lại sẽ được XCarnival thông báo trên các kênh truyền thông chính thức của dự án.
Nếu bạn là một người giỏi tính nhẩm chắc hẳn sẽ biết 1.467 ETH + 1.500 ETH sẽ bằng 2.967 ETH chứ không phải 3.087 ETH. Vậy 120 ETH còn lại đã đi đâu? Theo thông báo của XCarnival thì 120 ETH đã bị hacker rửa thông qua TornadoCash. Như vậy, hacker đã thu được 1.620 ETH từ vụ hack này chứ không phải 1.500 ETH như nhiều người vẫn nghĩ.