Útočník společnosti Quixotic se dokázal nabourat do funkce nabízení a odčerpat více než 100 000 dolarů v Optimism a USDC.
Quixotic, největší NFT tržiště na platformě Optimism, 1. července oznámil, že nedávná aktualizace kontraktu byla zneužita, což vedlo ke ztrátě tokenů ERC-20.
Tým ujistil uživatele, že ztracené prostředky budou vráceny a že NFT uvedené na platformě nebyly ovlivněny. Jako preventivní opatření je však veškerá činnost na tržišti pozastavena, protože vývojáři dále vyšetřují, co se stalo.
Můžeme potvrdit, že nedávná aktualizace smlouvy na našem tržišti byla zneužita, což hackerovi umožnilo ukrást schválené tokeny ERC-20.
1. Vrátíme všechny ukradené tokeny ERC-20.
2. NFT zůstávají v bezpečí a exploit se jich netýká.
3. Veškerá činnost na tržišti zůstává pozastavena https://t.co/wBYt903QVO– Quixotic ✨ – Optimism NFT Marketplace (@quixotic_io) July 1 2022
Quixotic uživatelé nemusí jednat, protože zranitelná smlouva byla zastavena a náhrady budou rozeslány „v nejbližších dnech“
Další podrobnosti o zneužití systému Quixotic NFT
Na exploit poprvé upozornil tým projektu NFT Apetimism, který komunitu řádně upozornil tweetem v časných ranních hodinách 1. července (BST). Jako zdroj zranitelnosti označil funkci nabídky a doporučil členům, aby otevřené nabídky zrušili a ochránili se tak.
„Nějaký útočník napadá funkci „Nabídka“. Proto vám doporučujeme, abyste okamžitě zrušili všechny nabídky, pokud nějakou máte. „
Dále Apetimism uvedl, že na základě jejich analýzy se zdá, že hacker byl schopen převést nabídky vytvořené na NFT do své vlastní peněženky. Předpokládají, že hacker nasadil svůj inteligentní kontrakt, který překonal stávající logiku a využil tak funkci nabídky.
Jak? Útočník nasadil kontrakt, aby obešel určitou logiku v chytrém kontraktu společnosti Quixotic přes funkci nabízení. To by mu umožnilo ukrást všechny tokeny použité v jakékoli nabídce na Quixotic v jakékoli měně.
– Apetimism | Sold Out (@apetimism) July 1, 2022
Apetimismus oznámil, že dosud došlo ke ztrátě 100 000 USD. Od doby, kdy byl tento tweet zveřejněn, však analýza hackerovy peněženky ukazuje několik velkých odlivů větších než 100 000 dolarů.
Nejvýznamnější jednotlivý převod ven byl za 110 756 USDC, zatímco další nejvýznamnější transakce ven byla za 170 882 Optimism (OP) v hodnotě 90 500 USD při aktuální ceně.
Další sledované kroky ukazují, že hacker aktivně rozbíjel ukradené prostředky na menší částky a posílal je na několik dalších adres.
Co je to Quixotic?
Quixotic je největší tržiště NFT na platformě Ethereum layer-2 Optimism.
Může se pochlubit průměrným transakčním poplatkem pouhých 0,0005 ETH (1,50 USD), díky čemuž je platforma mnohem použitelnější pro většinu obchodníků s NFT. Firma odhaduje, že od svého vzniku ušetřila svým členům na poplatcích za plyn přibližně 2 miliony dolarů.
Sledování na řetězci ukazuje, že platforma za posledních 30 dní otočila objem 419 500 USD, ale aktivita uživatelů od 14. června výrazně poklesla.