XCarnival, un fournisseur de liquidités pour l’écosystème Ethereum, a récupéré 1 467 ether (ETH) un jour seulement après avoir subi un exploit qui a drainé 3 087 ETH, d’une valeur d’environ 3,8 millions de dollars, du protocole.

L’enquêteur de Blockchain Peckshield a remarqué le piratage de XCarnival lorsqu’il est tombé sur un flux de transactions qui a fini par drainer 3 087 ETH du protocole. Expliquant la nature de l’exploit, Peckshield a déclaré :

« Le piratage est rendu possible en permettant qu’un NFT gagé retiré soit encore utilisé comme garantie, ce qui est ensuite exploité par le pirate pour drainer les actifs du pool. »

Peu après la révélation, XCarnival a informé de manière proactive les utilisateurs du piratage tout en suspendant temporairement une partie de ses services pour contrer l’agaçante attaque. Le protocole a également offert au hacker 1 500 ETH comme prime, en plus d’offrir une exemption de poursuites judiciaires.

XCarnival a été attaqué le 26 juin 2022 et a suspendu une partie du protocole. Les responsables de XCarnival donneront à 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a propriétaire 1500 ETH de prime. En même temps, les officiels de XCarnival exemptent explicitement la personne de toute action légale. Par l’équipe de XCarnival - XCarnival (@XCarnival_Lab) 27 juin 2022

Finalement, XCarnival a suspendu les contrats intelligents et les fonctions de dépôt et d’emprunt jusqu’à ce qu’il puisse identifier et corriger le bug interne qui a rendu le piratage possible. Selon Packshield, le pirate a utilisé un NFT précédemment retiré de la collection du Bored Ape Yacht Club (BAYC) comme garantie pour drainer les actifs.

Organigramme montrant le transfert des fonds volés de XCarnival. Source : Peckshield

Alors que le portefeuille du pirate XCarnival affichait la présence de 3 087 ETH après le piratage, les fonds restants semblent avoir été siphonnés avec succès, le portefeuille affichant 0 ETH au moment de la rédaction. 


Le solde du portefeuille ETH du hacker XCarnival. Source : etherscan.io

XCarnival a annoncé son intention de révéler les détails de la situation dans un avenir proche.

À lire également : Un pirate professionnel tente de récupérer des « millions » de bitcoins perdus, mais ne trouve que 105 $

Ce qui aurait pu être l’histoire de l’année s’est avéré être une déception après que les efforts d’un pirate chevronné pour récupérer un téléphone verrouillé rempli de bitcoins (BTC) aient abouti à la découverte de seulement 0,003 008 61 BTC.

Comme l’a rapporté Cointelegraph, Joe Grand, ingénieur en informatique et pirate informatique, a voyagé de Portland à Seattle pour récupérer potentiellement des BTC d’un téléphone Samsung Galaxy SIII appartenant à Lavar, un opérateur de bus local.

Après des efforts méticuleux de micro-soudure, de téléchargement de la mémoire et de découverte de la méthode de balayage du Samsung pour y accéder, Lavar a ouvert son portefeuille MyCelium Bitcoin et n’a découvert que 0,003 008 61 BTC, d’une valeur de 105 $ à l’époque, réduite à environ 63 $ au moment de la publication.