Kvůli chybě ve starých chytrých smlouvách NFT Trader byly ukradeny neopičí tokeny (NFT) v hodnotě milionů dolarů z vlajkových sbírek, jako jsou Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) a Cool Cats. Co se stalo, že k takovému útoku mohlo dojít?
Miliony dolarů z NFT zmizely, většina z nich z BAYC
Včera, v sobotu 16. prosince, zažilo mnoho majitelů neproměnných tokenů (NFT) ze sbírek modrých čipů nemilé překvapení, když se jim z peněženek vypařila jejich digitální díla.
Celkem bylo hackerem uneseno 36 NFT z vlajkové kolekce Bored Ape Yacht Club (BAYC) a 18 NFT ze spin-off kolekce Mutant Ape Yacht Club, kromě řady NFT z kolekcí World of Women, VeeFriends, Cool Cats a Squiggle. Jednotlivcům, kteří vlastnili tokeny Apecoins (APE), spojené s BAYC, byly rovněž odcizeny
Co měly nešťastné oběti tohoto velkého útoku společného? Všichni udělili autorizaci alespoň jednomu rizikovému chytrému kontraktu na platformě NFT Trader, která později téhož dne sama vydala prohlášení potvrzující narušení:
Došlo k útoku na staré chytré kontrakty, prosíme o odstranění delegace pomocí https://t.co/zEMgkS96nP na následující adresy:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) December 16, 2023
„Došlo k útoku na staré chytré smlouvy, odstraňte prosím delegaci pomocí Revoke.cash na následujících adresách […].“
Následně útočník předal poněkud matoucí zprávu v řetězci, ve které uvedl, že „opice jsou v bezpečí a nakonec se vrátí ke svému uživateli“. Podle něj chtěl původně využít chyby iniciované jiným hackerem, než si uvědomil, že může odčerpat mnoho vysoce hodnotných NFT
„Nejprve jsem sem jako obvykle přišel vyzvednout zbytkový odpad. Nejprve jsem si myslel, že mohu získat pouze TOKENy, ale nakonec jsem zjistil, že mohu získat i NFT. O NFT toho moc nevím, ale podíval jsem se na cenu NFT a myslím si, že na exploitech se dá hodně vydělat. […] Pokud chcete opičí NFT zpět, musíte mi zaplatit prémii, to si zasloužím. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Musíte mi zaplatit 10 % ETH za mou práci, pokud máte BAYC […] Musíte mi zaplatit 3 ETH, pokud je to BAYC, a 3,6 ETH, pokud je to MAYC.“.
Autor krádeže NFT
NFT konečně vráceny majitelům
Nejprve se zdá, že se útočník rozhodl některé NFT vrátit sám, někdy dokonce s určitou částkou v Ethers (ETH), jak hlásil majitel ukradeného BAYC na X, poté co ho získal zpět:
A teď mi hacker právě poslal 31 eth? Co se to proboha děje. Je tohle skutečný život?“
– Ricky Sanders (@RSandersDFS) December 16, 2023
„A teď mi hacker právě poslal 31 ETH? Co se to děje? Je to pravda?“
Dnes ráno Boring Security, dobrovolnická skupina, která se snaží sdílet správné bezpečnostní postupy pro držitele NFT a občas provádí vyšetřování na řetězci, uvedla, že 36 BAYC a 18 MAYC jim bylo vráceno výměnou za 10% prémii k minimální ceně sbírek a že kořist bude vrácena obětem.
Všech 36 BAYC a 18 MAYC, které měl vykořisťovatel, je nyní v našem vlastnictví.
Jako odměnu jsme jí poslali 10 % z minimální ceny sbírek. Budeme spolupracovat s postiženými oběťmi, abychom jim je bezplatně vrátili.
Hned po této přestávce na kávu…
Oběti prosím…
– Boring Security (@BoringSecDAO) December 17, 2023
Hacker ze své strany převedl vyplacené finanční prostředky do směnárny kryptoměn Tornado Cash, aby smazal stopy na řetězci.
Snímek obrazovky zobrazující některé transakce provedené hackerem
Měli bychom také zdůraznit, že díky úsilí 0xfoobar, 0xf4d3 a 0xqit se podařilo některé NFT rychle obnovit a posledně jmenovanému se podařilo zajistit opravu chyby nasazením záplaty na řetězci po dohodě s NFT Trader.
Příběh, který tedy skončí pozitivně, ačkoli upozorňuje na nebezpečí, která se skrývají v oprávněních, jež mohou být udělena některým chytrým kontraktům, ačkoli jsou na první pohled bezpečné.
