Милиони долари неплатими токени (NFT) от водещи колекции като Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) и Cool Cats са били откраднати поради недостатък в стари интелигентни договори на NFT Trader. Какво се е случило, за да се осъществи такава атака?
Милиони долари от NFT изчезнаха, повечето от тях от BAYC
Вчера, в събота, 16 декември, много собственици на нефунгиращи токени (NFT) от колекции на сини чипове преживяха неприятната изненада да видят как техните цифрови произведения се изпаряват от портфейлите им.
Общо 36 НФТ от водещата колекция Bored Ape Yacht Club (BAYC) и 18 НФТ от отделната колекция Mutant Ape Yacht Club бяха отвлечени от хакера, в допълнение към редица НФТ от колекциите World of Women, VeeFriends, Cool Cats и Squiggle. На лица, притежаващи Apecoins (APE), токените, свързани с BAYC, те също са били откраднати.
Какво е общото между нещастните жертви на тази мащабна атака? Всички те са дали разрешение за поне един рисков интелигентен договор на платформата NFT Trader, която по-късно същия ден сама направи изявление, потвърждаващо нарушението:
Претърпели сме атака срещу стари интелигентни договори, моля, премахнете делегирането, като използвате https://t.co/zEMgkS96nP на следните адреси:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) December 16, 2023
„Претърпяхме атака срещу стари интелигентни договори, моля, премахнете делегирането, като използвате Revoke.cash на следните адреси […].“
Впоследствие нападателят предаде донякъде объркващо съобщение във веригата, в което заяви, че „маймуните са в безопасност и в крайна сметка ще се върнат при своя потребител“. Според него първоначално той е искал да се възползва от недостатък, иницииран от друг хакер, преди да осъзнае, че може да отмъкне много НФТ с висока стойност
„Отначало, както обикновено, дойдох тук, за да взема остатъчните отпадъци. Отначало си мислех, че мога да взема само ТОКЕНИ, но в крайна сметка открих, че мога да взема и НФТ. Не знам много за NFTs, но погледнах цената на NFTs и мисля, че има голяма печалба от подвизи. […] Ако искате да върнете НФТ на маймуната, трябва да ми платите премия, това е, което заслужавам. 1 БАЙК = 30 ЕТ 1 МАЙК = 6 ЕТ. Трябва да ми платите 10% ЕТН за работата ми, ако имате BAYC […] Трябва да ми платите 3 ЕТН, ако е BAYC, и 3,6 ЕТН, ако е MAYC“.
Автор на кражба на NFT
НФТ най-накрая са върнати на собствениците
Поначало изглежда, че нападателят е решил сам да върне някои NFT, понякога дори с определена сума в етери (ETH), както съобщава собственик на откраднат BAYC на X, след като го е възстановил:
А сега хакерът току-що ми изпрати 31 ЕТ? Какво, по дяволите, се случва. Това реален живот ли е?
– Ricky Sanders (@RSandersDFS) December 16, 2023
„И сега хакерът току-що ми изпрати 31 ETH? Какво се случва? Това наистина ли е така?“
Тази сутрин Boring Security, доброволческа група, която работи за споделяне на добри практики за сигурност за притежателите на NFT и понякога провежда разследвания на веригата, заяви, че 36-те BAYC и 18-те MAYC са им били върнати в замяна на 10% премия върху минималната цена на колекциите и че плячката ще бъде върната на жертвите.
Всичките 36 BAYC и 18 MAYC, които експлоатиращият е имал, вече са в наше притежание.
Изпратихме ѝ 10% от минималната цена на колекциите като награда. Ще работим със засегнатите жертви, за да им ги върнем безплатно.
Веднага след тази кафе пауза…
Жертвите, моля…
– Boring Security (@BoringSecDAO) December 17, 2023
От своя страна хакерът прехвърлил платените му средства в смесителя за криптовалути Tornado Cash, за да заличи следите във веригата.
Снимка на екрана, показваща някои от транзакциите, извършени от хакера
Трябва също да отбележим, че благодарение на усилията на 0xfoobar, 0xf4d3 и 0xqit някои НФТ успяха да бъдат възстановени бързо, а последният успя да гарантира, че недостатъкът е отстранен чрез внедряване на кръпка във веригата след споразумение с NFT Trader.
Ето защо една история, която ще завърши с положителна нотка, въпреки че подчертава опасностите, свързани с разрешенията, които могат да бъдат предоставени на някои интелигентни договори, въпреки че на пръв поглед те са безопасни.
