据PeckShield公开分析，6月26日，XCarnival被黑客利用合约漏洞，通过创建多个质押订单将BAYC重复抵押借出ETH。本着对用户资产负责的态度，官方在第一时间关闭合约以及存款、借款功能，并立即分析出攻击者的ETH地址，与攻击者就赎回资产进行多轮谈判。截止新加坡时间6月27日13:45分，攻击者先期退还1467个ETH。据了解，多家安全机构、警方已开展深度合作，初步判定攻击者的地理区域位置。

此次事件中，XCarnival被质押的NFT及其他链上资产未受影响，目前其产品研发和市场运营继续正常推进。后续，XCarnival将会继续邀请更多的安全审计机构和白帽社区，对合约代码进行全部复查。据悉，XCarnival此前合约均已通过Certik审计。