How This Ethereum Lending Platform Was Attacked And Made A Deal With The Hacker

BitcoinistPublicado a 2022-06-28Actualizado a 2022-06-28

Resumen

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain...

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain security firm Peck Shield, a hacker exploited a vulnerability on the protocol’s smart contract by borrowing ETH and creating “multiple pledge orders to pledge BAYC (Bored Ape Yacht Club NFTs) many times”.
XCarnival operates as a non-fungible token (NFT) lending pool. The platform enables NFT holders to deposit their assets in exchange for liquidity. This process involves three smart contracts: an NFT manager, a P2Controller to manage lending restrictions, and fund storage, as stated by another security firm Go+ Security.
The hacker bought item 5110 from the popular Bored Ape Yacht Club NFT collection on OpenSea. Later, he deposited this asset on XCarnival and conducted an attack to “use the same NFT for borrowing”.
In other words, the attacker was able to pledge the NFT, borrowed ETH, and then remove the NFT without paying back the loan. The bad actor completed this process several times until the pool was drained.
Go+ Security explained that the hacker created a Master smart contract and several “slaves” smart contracts to conduct the attack:
Then Slave 5338 withdrew the NFT and sent it back to Master, who then repeated this process with other Slaves. In this way they created many orderIDs, which can later be used as lending credentials. But bugged xNFT contract didn’t revoke the credential after withdrawing.
XCarnival’s operated with a vulnerability on its smart contracts, mentioned above, which enable the attack if the user stays within a certain. Go+ Security added on the attack and the smart contract vulnerability: “Collateral is still valid after withdrawing. This is a very simple & naive bug in contract implementation.”
In light of the successful attack, the Ethereum-based NFT lending protocol decided to offer the hacker a deal.
Ethereum Platform Makes Deals With Its Attacker
According to its official Twitter account, the XCarnival offered the hacker a 1,500 ETH or $1.8 million bounty. Half the stolen funds. The attacker only needed to return the other half and they got to keep the money and suffer no legal consequences.
The team behind the platform confirmed that the hacker agreed to the terms. Half the stolen funds were returned to the pool. The Ethereum lending platform claims “security agencies have tentatively determined the hacker’s geographic location”.
This statement seems to hint at possible legal consequences for the attacker, but the team behind this project is yet to provide more information.

This is not the first time a hacker agrees to return a portion or the full amount of the stolen funds. Some hackers attack decentralized finance (DeFi) platforms and often held the money hostage until they receive payment for what they considered to be a “service”. Other projects are less lucky and pay the ultimate price.
At the time of writing, Ethereum (ETH) trades at $1,180 with a 3% loss in the last 24 hours.

Ethereum ETH ETHUSD

ETH moving sideways on the 4-hour chart. Source: ETHUSD Tradingview

Lecturas Relacionadas

El banco central de Japón subirá los tipos pronto, ¿soportará el mercado alcista de la IA?

**TL;DR** La atención del mercado se centra en la próxima reunión del Banco de Japón (BoJ). Históricamente, el yen ha sido una moneda de financiamiento global barata, facilitando operaciones de *carry trade* (pedir prestado en yenes a bajo costo para invertir en activos de mayor rendimiento). Esto ha inflado la liquidez global y la tolerancia al riesgo, beneficiando activos de alta volatilidad como las acciones tecnológicas de IA y las criptomonedas. El BoJ está saliendo de su política de tasas ultrabajas, y se espera que suba su tasa clave al 1.0% el 16 de junio, con perspectivas de llegar al 1.25% a fin de año. Si bien 25 puntos base parecen poco, el riesgo radica en el cambio de dirección: el "dinero barato" comienza a encarecerse, lo que podría desencadenar el desapalancamiento de operaciones de carry trade. Esto forzaría a los inversores a vender activos de riesgo (como acciones de IA y cripto) para recomprar yenes, amplificando la volatilidad del mercado a través del apalancamiento y las expectativas cambiarias. El mercado no está apostando a que la suba de tasas mate el *bull market* de la IA o las cripto, cuya narrativa fundamental permanece. En cambio, está evaluando el aumento del costo global del financiamiento y la reducción de la tolerancia a pagar múltiplos de valoración elevados por crecimiento futuro. La clave a observar después del anuncio del BoJ será la correlación: si un yen más fuerte coincide con la debilidad de activos de alta beta (tecnología, criptomonedas) y un aumento de la volatilidad, será una señal de que el mapa global del "dinero barato" se está reescribiendo, elevando el umbral de financiamiento para todos los activos de riesgo.

marsbitHace 1 min(s)

El banco central de Japón subirá los tipos pronto, ¿soportará el mercado alcista de la IA?

marsbitHace 1 min(s)

Microsoft anuncia la construcción de un ordenador cuántico comercial en tres años: ¿Se podrá materializar la promesa?

Microsoft anunció su nuevo chip cuántico Majorana 2, con cúbits que logran una coherencia media de 20 segundos, un aumento de 1,000 veces en fiabilidad. La empresa afirma que tendrá una computadora cuántica escalable y comercial para 2029. La clave es su enfoque de cúbits topológicos, que usa partículas Majorana para almacenar información de manera no local, haciéndolos intrínsecamente más estables frente al ruido. Un cambio crucial fue sustituir aluminio por plomo en el superconductor, mejorando la protección. La inteligencia artificial (IA) agentiva de Microsoft Discovery aceleró drásticamente la investigación, analizando datos, optimizando parámetros y resolviendo problemas como el "ruido fantasma". Sin embargo, persisten desafíos: el chip actual solo tiene 12 cúbits, lejos del millón necesario para aplicaciones comerciales. Incluso con 20 segundos de coherencia, los algoritmos prácticos requieren miles de millones de operaciones. Otros problemas son el alto costo de compilación de circuitos y la verificación de resultados. Mientras competidores como Google e IBM siguen otras rutas, como los cúbits superconductores, el avance de Microsoft acerca la computación cuántica comercial, pero su promesa para 2029 aún debe superar grandes obstáculos técnicos.

marsbitHace 10 min(s)

Microsoft anuncia la construcción de un ordenador cuántico comercial en tres años: ¿Se podrá materializar la promesa?

marsbitHace 10 min(s)

¿Qué tipo de personas busca realmente Anthropic? 1.680 CVs nos dan la respuesta

Anthropic no busca principalmente investigadores, sino ingenieros senior con experiencia en construir sistemas a gran escala. Un análisis de 1,680 currículums revela que su equipo de ingeniería se ha formado rápidamente en los últimos 18 meses, con más de la mitad de los empleados con menos de un año en la empresa. El ingeniero típico tiene una mediana de 12.2 años de experiencia previa, procedente de empresas como Google, Meta, Amazon o Stripe, y su perfil se centra en infraestructura, sistemas distribuidos y backend. Solo el 13.7% tiene un doctorado. Para perfiles junior, la vía de entrada son prácticas en empresas de élite, competiciones o proyectos de alineación y seguridad de IA. La conclusión clave: para unirse a Anthropic, hay que destacar experiencia práctica en la construcción de sistemas escalables, no solo investigación teórica.

marsbitHace 13 min(s)

¿Qué tipo de personas busca realmente Anthropic? 1.680 CVs nos dan la respuesta

marsbitHace 13 min(s)

¿Existe realmente la «maldición del Mundial» en los mercados?

El "maleficio del Mundial", una idea extendida en los mercados que sugiere un peor rendimiento bursátil durante la Copa del Mundo, parece tener cierto respaldo en datos históricos. Entre 1950 y 2022, el S&P 500 registró una rentabilidad media negativa del -1.5% a -2.11% en 11 de los 19 torneos. En China, el índice Shanghai Composite cayó en el 71% de las ediciones desde 1994. La criptomoneda Bitcoin mostró un patrón mixto. Los estudios, como uno del BCE de 2010, confirman que la actividad bursátil desciende notablemente durante los partidos, especialmente cuando juega la selección nacional, con una caída del volumen de hasta el 55%. Además, las derrotas de la selección pueden generar rendimientos negativos al día siguiente en la bolsa local. Sin embargo, el impacto directo del evento puede ser limitado. El período tradicional del Mundial (junio-julio) coincide con la estación estacionalmente débil para los mercados ("Sell in May and go away"). El Mundial de 2022 en Qatar (invierno) presentó una caída de volumen menor (-18%) que en verano (-33%), lo que sugiere que el contexto estacional es un factor clave. Para Bitcoin, sus movimientos durante los Mundiales estuvieron más influenciados por eventos específicos del ecosistema (hackeos, regulación) o por ciclos macroeconómicos que por el propio torneo. Respecto a las oportunidades de inversión, los sectores beneficiarios han evolucionado. Los medios de transmisión han pasado de la televisión tradicional a las plataformas de streaming. Sectores clásicos como la cerveza y el equipamiento deportivo mantienen cierta resiliencia, aunque enfrentan cambios en los hábitos de consumo. Emergen nuevas tendencias como la tokenización de objetos coleccionables (ej. cromos de jugadores). En conclusión, aunque los datos muestran una correlación entre el Mundial y una menor actividad y rendimiento del mercado, gran parte de este efecto puede atribuirse a patrones estacionales preexistentes. El torneo puede actuar más como un amplificador de tendencias estacionales o de eventos macroeconómicos concurrentes que como una causa única. La estrategia más natural para algunos inversores durante este período de posible menor liquidez podría ser simplemente disfrutar del evento.

marsbitHace 18 min(s)

¿Existe realmente la «maldición del Mundial» en los mercados?

marsbitHace 18 min(s)

¿Por qué la «suscripción a servicios de IA» está condenada a desaparecer?

El sistema de suscripciones de IA está destinado a desvanecerse. La reciente decisión de Anthropic de retirar su modelo insignia Fable 5 de sus planes de suscripción después de solo 14 días no es un error, sino un presagio. OpenAI, GitHub y Anthropic están cambiando colectivamente hacia modelos de pago por uso basados en créditos. El problema fundamental es que la suscripción se basa en un consumo limitado por el tiempo humano, algo que los agentes de IA autónomos están eliminando. Estos agentes realizan tareas complejas, consumiendo de 5 a 30 veces más tokens que una simple conversación, sin la presencia activa del usuario, lo que hace insostenible un precio fijo. Los servicios mantendrán la apariencia de suscripción, pero el núcleo —el uso ilimitado por una tarifa fija— desaparecerá. Para las empresas, la gestión de costos de IA será como la de la nube. Para los usuarios, la era de los subsidios cruzados se acaba. El momento actual, donde una suscripción de 200$ puede permitir un uso que costaría miles en la API, es un beneficio temporal. Aprovéchenlo mientras dure, antes de que el "medidor de la luz" esté permanentemente encendido.

marsbitHace 18 min(s)

¿Por qué la «suscripción a servicios de IA» está condenada a desaparecer?

marsbitHace 18 min(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow