How This Ethereum Lending Platform Was Attacked And Made A Deal With The Hacker

BitcoinistDipublikasikan tanggal 2022-06-28Terakhir diperbarui pada 2022-06-28

Abstrak

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain...

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain security firm Peck Shield, a hacker exploited a vulnerability on the protocol’s smart contract by borrowing ETH and creating “multiple pledge orders to pledge BAYC (Bored Ape Yacht Club NFTs) many times”.
XCarnival operates as a non-fungible token (NFT) lending pool. The platform enables NFT holders to deposit their assets in exchange for liquidity. This process involves three smart contracts: an NFT manager, a P2Controller to manage lending restrictions, and fund storage, as stated by another security firm Go+ Security.
The hacker bought item 5110 from the popular Bored Ape Yacht Club NFT collection on OpenSea. Later, he deposited this asset on XCarnival and conducted an attack to “use the same NFT for borrowing”.
In other words, the attacker was able to pledge the NFT, borrowed ETH, and then remove the NFT without paying back the loan. The bad actor completed this process several times until the pool was drained.
Go+ Security explained that the hacker created a Master smart contract and several “slaves” smart contracts to conduct the attack:
Then Slave 5338 withdrew the NFT and sent it back to Master, who then repeated this process with other Slaves. In this way they created many orderIDs, which can later be used as lending credentials. But bugged xNFT contract didn’t revoke the credential after withdrawing.
XCarnival’s operated with a vulnerability on its smart contracts, mentioned above, which enable the attack if the user stays within a certain. Go+ Security added on the attack and the smart contract vulnerability: “Collateral is still valid after withdrawing. This is a very simple & naive bug in contract implementation.”
In light of the successful attack, the Ethereum-based NFT lending protocol decided to offer the hacker a deal.
Ethereum Platform Makes Deals With Its Attacker
According to its official Twitter account, the XCarnival offered the hacker a 1,500 ETH or $1.8 million bounty. Half the stolen funds. The attacker only needed to return the other half and they got to keep the money and suffer no legal consequences.
The team behind the platform confirmed that the hacker agreed to the terms. Half the stolen funds were returned to the pool. The Ethereum lending platform claims “security agencies have tentatively determined the hacker’s geographic location”.
This statement seems to hint at possible legal consequences for the attacker, but the team behind this project is yet to provide more information.

This is not the first time a hacker agrees to return a portion or the full amount of the stolen funds. Some hackers attack decentralized finance (DeFi) platforms and often held the money hostage until they receive payment for what they considered to be a “service”. Other projects are less lucky and pay the ultimate price.
At the time of writing, Ethereum (ETH) trades at $1,180 with a 3% loss in the last 24 hours.

ETH moving sideways on the 4-hour chart. Source: ETHUSD Tradingview

Bacaan Terkait

Bank of Japan Siap Naikkan Suku Bunga, Apakah Saham-saham AI Tetap Bertahan?

**Ringkasan:** Pasar keuangan global saat ini sedang memantau ketat Bank of Japan (BoJ) menjelang keputusan suku bunganya pada 16 Juni. Banyak ekonom memperkirakan kenaikan suku bunga dari 0.75% menjadi 1.0%. Keputusan ini penting karena **Yen Jepang telah lama menjadi "mata uang pembiayaan global" yang murah**. Melalui transaksi *carry trade*, investor meminjam Yen berbunga rendah untuk membeli aset berisiko tinggi dan berpotensi imbal hasil lebih besar seperti saham teknologi AI dan cryptocurrency. Kenaikan suku bunga BoJ, meski tampak kecil, menandakan awal **"uang murah" global mulai menghilang**. Ini meningkatkan biaya leverage dan dapat mengurangi selera risiko investor. Aset dengan *beta tinggi* seperti saham AI (Nvidia, Microsoft) dan crypto (Bitcoin, Ethereum) sangat sensitif terhadap perubahan likuiditas dan biaya pendanaan global ini. Risiko utamanya bukan pada tingkat bunga 1%, tetapi pada **kecepatan normalisasi kebijakan** BoJ. Jika pasar mulai memperkirakan kenaikan suku bunga yang lebih cepat (misalnya, menjadi 1.25% pada akhir tahun), dapat memicu gelombang *unwind* (penutupan posisi) transaksi *carry trade* Yen. Investor akan menjual aset berisiko untuk membeli kembali Yen, berpotensi menyebabkan penurunan harga aset-aset tersebut secara bersamaan dan memperbesar volatilitas pasar. Intinya: BoJ tidak akan mengakhiri narasi dasar AI atau crypto, tetapi dapat **meninggikan "ambang batas pembiayaan"** untuk aset berisiko global. Di fase valuasi tinggi, likuiditas yang menyusut dapat menurunkan kelonggaran pasar terhadap valuasi dan mengurangi multipla yang bersedia dibayar untuk pertumbuhan masa depan. Pasca-keputusan, pantau hubungan antara: * Penguatan Yen * Peningkatan yield obligasi Jepang * Tekanan simultan pada aset *beta tinggi* (saham tech momentum, crypto). Sinyal ini akan menunjukkan apakah pasar mulai memperhitungkan kontraksi lebih dalam dari rantai leverage Yen.

marsbit2m yang lalu

Bank of Japan Siap Naikkan Suku Bunga, Apakah Saham-saham AI Tetap Bertahan?

marsbit2m yang lalu

Microsoft Umumkan Akan Membangun Komputer Kuantum Tingkat Komersial dalam Tiga Tahun: Apakah Janji Ini Akan Terwujud?

Microsoft mengumumkan rencana untuk memiliki komputer kuantum komersial yang dapat diskalakan pada tahun 2029, setelah meluncurkan chip kuantum baru Majorana 2. Chip ini menampilkan peningkatan signifikan dalam waktu koherensi qubit, mencapai rata-rata 20 detik, yang merupakan peningkatan keandalan 1000 kali lipat dari generasi sebelumnya. Pencapaian ini didorong oleh pendekatan komputasi kuantum topologis yang menggunakan partikel Majorana, serta bantuan dari AI agen pada platform Microsoft Discovery yang mempercepat proses penelitian dan pengembangan dengan menganalisis data eksperimen, mengoptimalkan parameter, dan memecahkan masalah kompleks. Meskipun kemajuan dalam stabilitas qubit ini menjanjikan, tantangan besar tetap ada. Untuk mencapai komputer kuantum umum yang berguna secara komersial, diperlukan skalasi dari 12 qubit saat ini menjadi jutaan qubit. Selain itu, ada pertanyaan tentang apakah 20 detik cukup untuk algoritma praktis, biaya kompilasi sirkuit kuantum yang tinggi, dan kesulitan dalam memverifikasi hasil perhitungan. Jalan menuju komputasi kuantum praktis masih panjang, dengan berbagai pendekatan seperti sirkuit superkonduktor dan ion terperangkap juga sedang dikembangkan oleh pesaing seperti Google, IBM, dan berbagai negara.

marsbit12m yang lalu

Microsoft Umumkan Akan Membangun Komputer Kuantum Tingkat Komersial dalam Tiga Tahun: Apakah Janji Ini Akan Terwujud?

marsbit12m yang lalu

Siapa Saja yang Sebenarnya Direkrut oleh Anthropic? 1.680 CV Memberikan Jawabannya

Analisis terhadap 1.680 riwayat hidup insinyur di Anthropic mengungkap gambaran tak terduga: perusahaan ini lebih mengutamakan "pembangun" (builder) berpengalaman daripada "peneliti" murni. Berdasarkan data LinkedIn, tim teknik Anthropic berkembang pesat dalam 18 bulan terakhir, dengan lebih dari separuh insinyurnya baru bergabung kurang dari setahun. Rekrutan baru umumnya sangat senior, dengan pengalaman kerja rata-rata 12,2 tahun, dan banyak berasal dari perusahaan dengan reputasi teknik kuat seperti Google, Meta, Amazon, Microsoft, Stripe, Databricks, Snowflake, dan Palantir. Latar belakang insinyur cenderung pada infrastruktur, sistem backend, sistem terdistribusi, database, dan keamanan. Hanya 13,7% yang bergelar PhD. Sumber rekrutan terbesar adalah Google, bukan laboratorium AI pesaing. Untuk kandidat awal karir (kurang dari 6 tahun pengalaman), jalan masuk biasanya melalui magang di perusahaan top, prestasi kompetisi, publikasi makalah, atau pengalaman di proyek keselamatan/alignment AI. Intinya, Anthropic beroperasi lebih seperti perusahaan infrastruktur yang sangat terengineering. Saran bagi pelamar: soroti pengalaman membangun dan mengembangkan sistem berskala besar, bukan hanya keahlian riset.

marsbit15m yang lalu

Siapa Saja yang Sebenarnya Direkrut oleh Anthropic? 1.680 CV Memberikan Jawabannya

marsbit15m yang lalu

Benarkah Ada "Kutukan Piala Dunia" di Pasar?

**Apakah "Kutuban Piala Dunia" Benar-Benar Ada di Pasar?** Dengan dimulainya Piala Dunia 2026, mitos "kutuban Piala Dunia" kembali beredar, yaitu tren pelemahan pasar saham global selama turnamen berlangsung. Data historis menunjukkan pola ini: Indeks S&P 500 AS rata-rata mengalami penurunan -1,5% hingga -2,11% dalam 19 turnamen sejak 1950, dengan 11 kali catatan negatif (58%). Pasar saham China (Shanghai Composite) juga turun 71% dalam 7 Piala Dunia terakhir. Pasar kripto menunjukkan hasil beragam. **Apa Penyebabnya?** Penelitian menemukan pengaruh langsung tapi terbatas. Saat pertandingan berlangsung, terutama jika tim nasional bermain, volume perdagangan saham turun drastis (hingga 55%). Kekalahan tim juga cenderung menekan pasar saham negara tersebut keesokan harinya. Namun, dampak utamanya mungkin berasal dari faktor musiman: Piala Dunia musim panas (Juni-Juli) kebetulan jatuh pada periode "Sell in May and go away," di mana pasar saham secara historis kurang bergairah. Buktinya, pada Piala Dunia 2022 di musim dingin (November-Desember), penurunan volume perdagangan lebih kecil. Untuk kripto seperti Bitcoin, faktor makro dan siklusnya sendiri (seperti peluncuran bursa, peretasan, atau "halving") jauh lebih berpengaruh daripada acara Piala Dunia. **Peluang Investasi selama Piala Dunia:** Peta peluang investasi telah bergeser seiring waktu. Sektor klasik seperti televisi tradisional tidak lagi mendapatkan keuntungan signifikan, digantikan oleh perusahaan *streaming* yang memegang hak siar. Sementara bir dan perlengkapan olahraga tetap stabil, pertumbuhannya melambat. Tren baru muncul di ruang digital, seperti kartu koleksi digital (NFT) pemain bintang di blockchain, yang mengalami kenaikan harga eksponensial. Taruhan olahraga dan pasar prediksi juga tetap menjadi sektor yang relevan. **Kesimpulan:** Meski ada korelasi statistik antara Piala Dunia dan kinerja pasar yang lebih lemah, bukti menunjukkan bahwa "kutuban" ini lebih disebabkan oleh kombinasi faktor musiman dan penurunan likuiditas karena perhatian investor yang teralihkan, bukan sebab-akibat langsung. Oleh karena itu, menikmati turnamen sambil berhati-hati dengan kondisi likuiditas pasar yang biasanya lebih rendah selama periode ini bisa menjadi pendekatan yang masuk akal bagi investor.

marsbit19m yang lalu

Benarkah Ada "Kutukan Piala Dunia" di Pasar?

marsbit19m yang lalu

Mengapa "Model Berlangganan Layanan AI" Pasti akan Menuju Kepunahan?

"Mengapa 'Layanan AI Berlangganan' Diprediksi Akan Pudar?" Model AI kini bergerak ke arah pembayaran berdasarkan pemakaian, seperti yang terlihat dari langkah Anthropic, OpenAI, dan GitHub. Claude Fable 5 misalnya, hanya dapat diakses gratis oleh pelanggan berlangganan selama 14 hari, setelah itu harus membeli kredit pemakaian. Pola serupa terlihat di seluruh industri: GitHub Copilot beralih ke kredit AI, dan OpenAI menyesuaikan tarif untuk klien perusahaan. Masalah utamanya adalah model berlangganan tradisional dirancang untuk konsumsi manusia yang terbatas waktu. Namun, dengan kemunculan agen AI yang dapat menjalankan tugas kompleks secara mandiri dan mengonsumsi token 5-30 kali lebih banyak dari percakapan biasa, batas konsumsi ini hilang. Data menunjukkan paket berlangganan seperti ChatGPT Plus atau Claude Max memberi nilai token yang jauh lebih tinggi daripada biaya langganannya, menciptakan subsidi besar yang tak berkelanjutan, terutama untuk pengguna berat. Upaya menaikkan harga atau membatasi kuota gagal karena hanya menarik pengguna dengan pemakaian sangat tinggi (seleksi terbalik). Solusi yang muncul adalah mempertahankan "kulit" langganan tetapi mengisinya dengan kredit pemakaian berdasarkan token, sehingga inti dari "harga tetap, pakai sepuasnya" menghilang. Perubahan ini didorong oleh evolusi teknologi AI menuju agen yang lebih otonom dan tekanan pasar modal menjelang IPO perusahaan-perusahaan AI. Bagi pengguna, ini berarti anggaran AI harus dikelola seperti tagihan listrik — setiap orang membayar untuk "meteran" sendiri. Meski demikian, periode berlangganan saat ini masih menawarkan nilai subsidi yang tinggi, dan bijaksana untuk memanfaatkannya untuk tugas-tugas berat sebelum transisi ke model pembayaran berdasarkan pemakaian sepenuhnya terjadi.

marsbit20m yang lalu