黑客如何盜取3,000枚ETH，NFT借貸平台XCarnival 被攻擊事件分析

一、Xcarnival 介紹

Xcarnival 是 NFT 借貸平台，NFT借貸是由 DeFi平台提供的，平台允許 NFT 所有者抵押他們的NFT藝術品或收藏品，以換取加密貨幣或法幣。

NFT 借貸如何運作呢？支持NFT貸款的平台允許持有人在沒有中介的情況下借入資金並設定條款。借款人可望獲得約為NFT價值50%的貸款額度，利率從20%到80%不等，這取決於NFT受歡迎的程度。

與傳統借貸機構相比，DeFi 協議的魅力在於它們簡單、透明和高效。NFT 作為抵押品的資產被發送到一個安全的智能合約，它作為一個公正的、自動化的第三方程序，來完成整個借貸流程。

貸款人評估抵押品的合理價值，通常是通過查看資產的過去表現、銷售歷史或類似NFT的地板價。一旦雙方就條款達成一致，NFT就會從借款人的錢包轉入一個託管賬戶，並由智能合約促成借貸。

二、XCarnival 遭到攻擊，3087枚ETH被盜

6月26日消息，NFT 借貸協議 XCarnival 遭到攻擊，黑客獲利 3087 枚以太坊（約 380 萬美元），而協議損失可能更高。

Xcarnival 平台資產地址：

"XNFTProxy": https://eth.tokenview.com/cn/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169a

"XETHProxy": https://eth.tokenview.com/cn/address/0xb38707e31c813f832ef71c70731ed80b45b85b2d

黑客地址：

https://eth.tokenview.com/cn/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a

https://eth.tokenview.com/cn/address/0xca67615bb9a9cc093e13dee3de1ca55b55ab3586

三、XCarnival 被盜經過

Tokenview帶你梳理一下XCarnival 被攻擊全過程：

1 攻擊者

https://eth.tokenview.com/cn/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a 從Tornado.Cash中取出了120ETH作為」攻擊準備「。

2 隨後在Opensea上通過opensea seaport協議花費91.65ETH，購買了NFT BAYC #5110。

3 創建多個攻擊合約，通過轉移BAYC NFT，實施攻擊過程。以合約地址0xf7為例，首次攻擊利用合約0xf7多次進行抵押NFT，共獲利1980ETH。

0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d

0xbcf759e6889af3af5cdb02ddc5557aa525e7ed8b

0x3edf976df38f7d6273884b4066e3689ef547d816

0x7b5a2f7cd1cc4eef1a75d473e1210509c55265d8

0x234e4b5fec50646d1d4868331f29368fa9286238

4 此次攻擊利用了該NFT借貸平台的合約bug：已解除抵押的 NFT 仍被作為抵押品所致。也就是說，抵押品NFT被取出來後，它的orderID仍可以使用，還可以申請貸款。據Tokenview數據顯示攻擊者獲利 至少3000枚ETH（約 380 萬美元）。

5 最終攻擊者將NFT BAYC5110以85ETH在Opensea賣出，最終取回81.56ETH。

四、XCarnival 官方回應

6月26日22:07，XCarnival團隊發推稱已暫停智能合約以及存款、借款功能。

並於22:37:19，XCarnival開始向黑客發起對話。對話內容為：「你好，我們已經意識到我們的合同漏洞，我們聯繫你是希望挽回這個損失。如果你願意和我談談我會非常感激的。我們可以通過[email protected]交流或交易，謝謝。」

直至 6月27日凌晨1點，XCarnival攻擊者開始陸續轉移資產。據Tokenview鏈上數據顯示， 在 01:12:29，攻擊者將2967枚ETH（約360萬美元）發送到0xca新地址。並從 01:17:02至 01:22:22，分批將120枚ETH發送至Tornado.cash。

據Tokenview鏈上數據顯示，經過一系列對話協商後，XCarnival表示（在攻擊者退還盜取資金的前提下）將給予攻擊者（0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a）1500枚ETH的賞金，並明確免除對此人的法律訴訟。

攻擊者留言：「很高興聽到這個消息——資金將被退還——請發表一份官方聲明——由xCarnival首席執行官簽署——給予oxb7(攻擊者地址)所有者1500ETH的賞金和明確否決訴訟」。隨後XCarnival團隊發佈此推文。

在13:45:58，攻擊者向XCarnival（0xc087629431256745e6e3d87b3ec14e8b42d47e48）返還了1467枚ETH。 具體交易路徑是從0xca的地址轉回0xb7的地址，最終轉向XCarnival官方提供的錢包地址0xc08。

在XCarnival攻擊者歸還1467枚ETH後，自稱想申請作為調解人的地址

0xfc5724c285213269cc53d6156e8d2fddbbcad626 ，向其發起對話，寫道「先生，我很感激你的行動但我想申請作為調解人，以保證交易的安全和有效。」目前攻擊者還未作出回應。

Tokenview會持續關注XCarnival攻擊者鏈上動態，帶來最全面的數據解析。