How This Ethereum Lending Platform Was Attacked And Made A Deal With The Hacker

BitcoinistXuất bản vào 2022-06-28Cập nhật gần nhất vào 2022-06-28

Tóm tắt

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain...

Ethereum lending platform XCarnival confirmed a bad actor stole $3.8 million or 3,087 ETH. According to a report from on-chain security firm Peck Shield, a hacker exploited a vulnerability on the protocol’s smart contract by borrowing ETH and creating “multiple pledge orders to pledge BAYC (Bored Ape Yacht Club NFTs) many times”.
XCarnival operates as a non-fungible token (NFT) lending pool. The platform enables NFT holders to deposit their assets in exchange for liquidity. This process involves three smart contracts: an NFT manager, a P2Controller to manage lending restrictions, and fund storage, as stated by another security firm Go+ Security.
The hacker bought item 5110 from the popular Bored Ape Yacht Club NFT collection on OpenSea. Later, he deposited this asset on XCarnival and conducted an attack to “use the same NFT for borrowing”.
In other words, the attacker was able to pledge the NFT, borrowed ETH, and then remove the NFT without paying back the loan. The bad actor completed this process several times until the pool was drained.
Go+ Security explained that the hacker created a Master smart contract and several “slaves” smart contracts to conduct the attack:
Then Slave 5338 withdrew the NFT and sent it back to Master, who then repeated this process with other Slaves. In this way they created many orderIDs, which can later be used as lending credentials. But bugged xNFT contract didn’t revoke the credential after withdrawing.
XCarnival’s operated with a vulnerability on its smart contracts, mentioned above, which enable the attack if the user stays within a certain. Go+ Security added on the attack and the smart contract vulnerability: “Collateral is still valid after withdrawing. This is a very simple & naive bug in contract implementation.”
In light of the successful attack, the Ethereum-based NFT lending protocol decided to offer the hacker a deal.
Ethereum Platform Makes Deals With Its Attacker
According to its official Twitter account, the XCarnival offered the hacker a 1,500 ETH or $1.8 million bounty. Half the stolen funds. The attacker only needed to return the other half and they got to keep the money and suffer no legal consequences.
The team behind the platform confirmed that the hacker agreed to the terms. Half the stolen funds were returned to the pool. The Ethereum lending platform claims “security agencies have tentatively determined the hacker’s geographic location”.
This statement seems to hint at possible legal consequences for the attacker, but the team behind this project is yet to provide more information.

This is not the first time a hacker agrees to return a portion or the full amount of the stolen funds. Some hackers attack decentralized finance (DeFi) platforms and often held the money hostage until they receive payment for what they considered to be a “service”. Other projects are less lucky and pay the ultimate price.
At the time of writing, Ethereum (ETH) trades at $1,180 with a 3% loss in the last 24 hours.

ETH moving sideways on the 4-hour chart. Source: ETHUSD Tradingview

Nội dung Liên quan

Nếu bong bóng AI thực sự đã vỡ, ai sẽ là người ở lại?

Bong bóng AI đang trở thành điểm đồng thuận gây chia rẽ nhất trên thị trường toàn cầu. Một bên là cảnh báo về sự quá nóng từ Ray Dalio, một bên là tầm nhìn về cuộc cách mạng sản xuất mới bắt đầu từ Jensen Huang. Vấn đề thực sự không phải là có bong bóng hay không, mà là sau khi bong bóng tan, thứ gì sẽ còn lại. Giống như bong bóng dot-com năm 2000 đã để lại cơ sở hạ tầng cáp quang, băng thông rộng và điện toán đám mây - nền tảng cho Amazon, Netflix và kỷ nguyên di động sau này, làn sóng AI hiện nay cũng đang ở vị trí tương tự. Hàng nghìn tỷ USD đang được đổ vào trung tâm dữ liệu, điện năng, làm mát bằng chất lỏng, module quang và GPU, trong khi doanh thu từ các ứng dụng vẫn chưa bắt kịp. Rõ ràng có sự chênh lệch, nhưng tiềm năng tăng năng suất cơ bản là có thật. Chi phí xử lý token (token cost) đã giảm hơn 99.7% từ năm 2023 đến 2025. Khi trí thông minh trở nên rẻ như điện nước, AI không còn là công cụ trò chuyện đơn thuần mà đang thâm nhập vào các quy trình công việc thực tế trong lập trình, y tế, tài chính, pháp lý và sản xuất. Thị trường sẽ thanh lọc các công ty "bọc vỏ" (shell companies) và startup chỉ dựa trên slide thuyết trình, nhưng không thể đảo ngược xu hướng AI+. Các gã khổng lồ công nghệ dự kiến chi 6900 tỷ USD cho cơ sở hạ tầng vào năm 2026, nhưng doanh thu tổng hợp từ các công ty AI thuần túy ước tính chưa đến 400 tỷ USD. Sự mất cân đối này là dấu hiệu của bong bóng. Tuy nhiên, theo nghịch lý Jevons, việc chi phí giảm mạnh không làm giảm chi tiêu của doanh nghiệp cho AI, mà ngược lại, mở ra lượng cầu khổng lồ trước đây bị hạn chế bởi chi phí, dẫn đến tổng mức tiêu thụ tăng theo cấp số nhân. Thị trường đang trong giai đoạn tự thanh lọc, loại bỏ những dự án thiếu giá trị thực. Xu hướng sâu xa là sự dịch chuyển giá trị từ chi tiêu vốn (CapEx - cho hạ tầng) sang chi tiêu vận hành (OpEx - cho ứng dụng tối ưu hóa quy trình). Lợi nhuận siêu ngạch cuối cùng sẽ chảy về phía những doanh nghiệp AI gốc (AI-native) thực sự giải quyết được điểm đau trong các ngành dọc. Giống như tất cả các ngành hiện nay đều không thể tách rời internet, tương lai tất cả các ngành cũng sẽ không thể tách rời AI. Sự hỗn loạn của bong bóng rồi sẽ qua đi, nhưng động lực tăng năng suất cơ bản mà AI mang lại là hoàn toàn có thật và sẽ định hình thời đại thịnh vượng thông minh tiếp theo.

链捕手5 phút trước

Nếu bong bóng AI thực sự đã vỡ, ai sẽ là người ở lại?

链捕手5 phút trước

CEO Microsoft: Trong kỷ nguyên AI, làm thế nào để xác định hào bảo vệ của một công ty?

CEO của Microsoft Satya Nadella cho rằng, trong thời đại AI, lợi thế cạnh tranh bền vững của một doanh nghiệp không nằm ở việc lựa chọn mô hình mạnh nhất, mà ở khả năng xây dựng một "vòng lặp học tập" — một hệ thống tích lũy và không ngừng tiến hóa từ quy trình làm việc, kiến thức chuyên môn, phán đoán tổ chức và kinh nghiệm của nhân viên. Theo đó, doanh nghiệp cần tích lũy đồng thời hai loại vốn: Vốn nhân lực (kiến thức, khả năng phán đoán, sáng tạo của con người) và Vốn Token (năng lực AI riêng được doanh nghiệp xây dựng và sở hữu). AI không làm giảm giá trị vốn nhân lực, mà trái lại, nó càng đề cao vai trò định hướng, kết nối đa ngành và nhận diện mẫu hình then chốt của con người. Điểm cốt lõi là doanh nghiệp phải biến tri thức ngầm của tổ chức thành năng lực hệ thống có thể tái sử dụng, mở rộng và lặp lại thông qua các đánh giá riêng tư, môi trường học tăng cường riêng và cơ sở tri thức có thể truy vấn. Thành trì thực sự chính là hệ thống học tập này: ngay cả khi thay thế mô hình AI tổng quát, doanh nghiệp vẫn giữ lại được kinh nghiệm chuyên môn đã tích lũy như một "nhân viên kỳ cựu" của công ty. Tương lai ổn định cần một hệ sinh thái tiên phong, nơi mọi công ty, ngành nghề và quốc gia đều có thể sở hữu vòng lặp học tập của riêng mình, chứ không phải để giá trị bị một vài mô hình tổng quát thâu tóm. Bằng cách này, doanh nghiệp vừa tạo ra giá trị cho chính mình, vừa khuếch đại năng lực nhân viên và giữ lại lợi ích kinh tế từ AI trong nội bộ ngành và cộng đồng của mình.

marsbit42 phút trước

CEO Microsoft: Trong kỷ nguyên AI, làm thế nào để xác định hào bảo vệ của một công ty?

marsbit42 phút trước

ETF Chỉ Là Vé Vào Cửa: Sự Thể Chế Hóa Thực Sự Của Bitcoin Đang Diễn Ra Ở Nơi Bạn Không Nhìn Thấy

ETF đã giải quyết cách các tổ chức sở hữu Bitcoin, nhưng sự chuyển mình thực sự nằm ở việc Bitcoin đang trở thành "nguyên liệu tài chính" - thứ được dùng để xây dựng các sản phẩm phức tạp. Bài viết chỉ ra các ví dụ: công ty bảo hiểm Tabit dùng Bitcoin làm dự trữ cho hợp đồng bảo hiểm trị giá 40 triệu USD; Ledn phát hành trái phiếu được xếp hạng đầu tư (BBB- bởi S&P) dựa trên một danh mục cho vay thế chấp bằng Bitcoin; và các mạng lưới như Atlas của Anchorage Digital đang biến Bitcoin thành tài sản thế chấp thông thường cho các giao dịch phái sinh. Hệ thống này đã vượt qua bài kiểm tra áp lực trong đợt bán tháo tháng 2/2026, khi giá giảm 27% kích hoạt các lệnh gọi ký quỹ tự động. Tuy nhiên, nó cũng bộc lộ rủi ro khi nhiều bên cùng bán tháo một lúc, có thể tạo hiệu ứng domino đẩy giá xuống sâu hơn. Dù vậy, xu hướng đã rõ ràng: từ giao dịch chênh lệch giá (basis trade), bảo hiểm, đến trái phiếu và cả kho bạc doanh nghiệp (như MicroStrategy), Bitcoin đang dần đảm nhận vai trò cốt lõi trong cơ chế tài chính, tương tự trái phiếu chính phủ hay vàng. Sự chấp nhận thực sự không nằm ở dòng tiền vào ETF, mà ở những lớp hạ tầng vô hình nơi Bitcoin trở thành một phần cỗ máy.

marsbit48 phút trước

ETF Chỉ Là Vé Vào Cửa: Sự Thể Chế Hóa Thực Sự Của Bitcoin Đang Diễn Ra Ở Nơi Bạn Không Nhìn Thấy

marsbit48 phút trước

Người sáng lập ZEC phản hồi về lỗ hổng Orchard: Chưa có dấu hiệu bị đánh cắp, sẽ đóng bể Orchard

Đồng sáng lập ZEC trả lời về lỗ hổng Orchard: Chưa có dấu hiệu bị đánh cắp, sẽ đóng bể Orchard Gần đây, mô-đun Orchard của Zcash phát hiện lỗ hổng bảo mật, dấy lên lo ngại về tổng nguồn cung ZEC và sự an toàn tài sản người dùng. Lỗ hổng này đặt ra bốn câu hỏi chính: 1. Lỗ hổng đã bị khai thác chưa? 2. Tài sản hợp pháp trong Orchard có rút ra được không? 3. Người dùng có thể tự xác minh tổng nguồn cung Zcash không? 4. Có lỗ hổng tạo giả tương tự khác không? **Lỗ hổng đã bị khai thác?** Khả năng thấp. Lỗ hổng rất phức tạp, được phát hiện chủ động bởi chuyên gia. Nhóm phát triển nhanh chóng phối hợp với các mining pool để đóng bể Orchard và vá lỗi, thu hẹp cơ hội tấn công. Chưa có bằng chứng nào về việc khai thác để trục lợi. **Tài sản trong Orchard có an toàn?** Nếu lỗ hổng chưa bị khai thác, tài sản hợp pháp có thể rút ra bình thường. Nếu đã bị khai thác, việc rút tiền có thể bị ảnh hưởng nếu mã giả được rút trước. Tuy nhiên, tình huống này được đánh giá là ít xảy ra. Người dùng có thể chọn giữ tài sản trong ví Orchard hiện tại (được coi là an toàn) hoặc chuyển sang địa chỉ minh bạch (mất tính riêng tư) hoặc sang bể Sapling (vẫn giữ một mức độ riêng tư). **Người dùng có thể tự xác minh nguồn cung?** Hiện tại thì không thể. Tuy nhiên, bản nâng cấp mạng Ironwood sắp tới sẽ giải quyết vấn đề này bằng cách đóng vĩnh viễn bể Orchard. Khi đó, tổng số ZEC rút ra sẽ chính xác bằng tổng số ZEC hợp pháp đã gửi vào, cho phép bất kỳ ai cũng có thể tự xác minh nguồn cung. **Có lỗ hổng tạo giả khác không?** Chưa phát hiện thêm lỗ hổng nào tương tự. Shielded Labs và các đối tác đã tiến hành kiểm tra toàn diện, sử dụng cả công cụ AI tiên tiến, và không tìm thấy lỗ hổng tạo giả mới. Các cuộc kiểm tra bổ sung đang được thực hiện để tăng cường bảo mật. **Tóm tắt** Lỗ hổng Orchard có khả năng chưa bị khai thác, tài sản người dùng về cơ bản an toàn và chưa phát hiện lỗi tạo giả khác. Điểm then chốt là người dùng hiện chưa thể tự xác minh nguồn cung, nhưng bản nâng cấp Ironwood sắp tới sẽ khôi phục khả năng này bằng cách đóng bể Orchard vĩnh viễn.

Foresight News53 phút trước

Người sáng lập ZEC phản hồi về lỗ hổng Orchard: Chưa có dấu hiệu bị đánh cắp, sẽ đóng bể Orchard

Foresight News53 phút trước

Ngân hàng Nhật Bản sắp tăng lãi suất, liệu thị trường tăng giá AI có còn trụ vững?

Ngân hàng Trung ương Nhật Bản (BOJ) có thể sắp tăng lãi suất từ 0.75% lên 1.0% trong cuộc họp ngày 16/6, theo khảo sát các nhà kinh tế. Động thái này thu hút sự chú ý toàn cầu vì tác động đến các giao dịch carry trade bằng đồng yên – một nguồn tài trợ rẻ lâu nay cho các tài sản rủi ro toàn cầu như cổ phiếu công nghệ AI và tiền mã hóa. Trong nhiều năm, nhà đầu tư vay yên lãi suất thấp để chuyển đổi sang các loại tiền tệ khác và đầu tư vào các tài sản có lợi nhuận cao hơn. Việc BOJ thoát khỏi chính sách lãi suất siêu thấp đồng nghĩa với việc "tấm thẻ tín dụng" vốn rẻ này đang dần trở nên đắt đỏ hơn, làm tăng chi phí đòn bẩy và có thể làm giảm sự sẵn sàng chấp nhận rủi ro trên toàn cầu. Bài viết nhấn mạnh rằng ảnh hưởng chính không nằm ở mức lãi suất 1% tuyệt đối, mà nằm ở sự thay đổi trong kỳ vọng về tốc độ bình thường hóa chính sách và khả năng đồng yên tăng giá. Điều này có thể buộc các nhà đầu tư phải đồng loạt đóng các vị thế carry trade, dẫn đến việc bán tháo các tài sản rủi ro như cổ phiếu AI và Bitcoin để mua lại yên, từ đó khuếch đại biến động thị trường. Tóm lại, thị trường đang định giá lại ngưỡng tài trợ cho các tài sản rủi ro toàn cầu. Các yếu tố cơ bản dài hạn của AI hay tiền mã hóa vẫn nguyên vẹn, nhưng trong ngắn hạn, định giá của chúng có thể nhạy cảm với sự thu hẹp của các nguồn thanh khoản rẻ như đồng yên. Diễn biến sau quyết định của BOJ, đặc biệt là phản ứng của đồng yên, trái phiếu Nhật và nhóm tài sản có hệ số beta cao, sẽ là chìa khóa để xác định mức độ ảnh hưởng thực tế.

marsbit1 giờ trước

Ngân hàng Nhật Bản sắp tăng lãi suất, liệu thị trường tăng giá AI có còn trụ vững?

marsbit1 giờ trước

Giao dịch

Giao ngay

Hợp đồng Tương lai