Millones de dólares en tokens no fungibles (NFT) de colecciones emblemáticas como Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) y Cool Cats han sido robados debido a un fallo en antiguos contratos inteligentes de NFT Trader. ¿Qué ha ocurrido para que se produzca un ataque de este tipo?
Millones de dólares de NFT desaparecidos, la mayoría de BAYC
Ayer, sábado 16 de diciembre, muchos propietarios de tokens no fungibles (NFT) de colecciones blue chip se llevaron la desafortunada sorpresa de ver cómo sus obras digitales se evaporaban de sus carteras.
En total, 36 NFT de la colección insignia Bored Ape Yacht Club (BAYC) y 18 NFT de la colección derivada Mutant Ape Yacht Club fueron secuestrados por el hacker, además de varios NFT de las colecciones World of Women, VeeFriends, Cool Cats y Squiggle. También han sido robados Apecoins (APE), los tokens vinculados a BAYC.
¿Qué tenían en común las desafortunadas víctimas de este gran ataque? Todos habían autorizado al menos un contrato inteligente de riesgo en la plataforma NFT Trader, que ese mismo día emitió un comunicado confirmando el ataque.
Hemos sufrido un ataque a contratos inteligentes antiguos, por favor, elimine la delegación utilizando https://t.co/zEMgkS96nP a las siguientes direcciones:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) 16 de diciembre de 2023
«Hemos sufrido un ataque a contratos inteligentes antiguos, por favor, elimine la delegación utilizando Revoke.cash en las siguientes direcciones […]. «
Posteriormente, el atacante transmitió un mensaje on-chain algo confuso, afirmando que «los monos están a salvo, y eventualmente volverán a su usuario». Según él, inicialmente quería aprovecharse de un fallo iniciado por otro hacker, antes de darse cuenta de que podía desviar muchos NFT de alto valor
«Al principio, como de costumbre, vine a recoger residuos. Al principio pensé que sólo podía conseguir TOKENs, pero al final descubrí que también podía conseguir NFTs. No sé mucho de NFT, pero he mirado el precio de los NFT y creo que se puede sacar mucho provecho de las hazañas. […] Si queréis recuperar el NFT del mono, tenéis que pagarme una prima, es lo que merezco. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Tienes que pagarme un 10% de ETH por mi trabajo si tienes un BAYC […] Tienes que pagarme 3 ETH si es un BAYC y 3,6 ETH si es un MAYC».
Autor del robo NFT
Los NFT devueltos finalmente a sus propietarios
Al principio, el atacante parece haber decidido devolver algunos NFTs por su cuenta, a veces incluso con una cierta cantidad en Ethers (ETH), como informó el propietario de un BAYC robado en X, después de recuperarlo:
¿Y ahora el hacker me acaba de enviar 31 eth? ¿Qué demonios está pasando? ¿Esto es la vida real?
– Ricky Sanders (@RSandersDFS) December 16, 2023
«¿Y ahora el hacker me acaba de enviar 31 ETH? ¿Qué está pasando? ¿Esto es de verdad? «
Esta mañana, Boring Security, un grupo de voluntarios que trabaja para compartir buenas prácticas de seguridad para los titulares de NFT y que a veces lleva a cabo investigaciones en la cadena, dijo que los 36 BAYC y los 18 MAYC les habían sido devueltos a cambio de una prima del 10% sobre el precio mínimo de las colecciones, y que el botín se devolvería a las víctimas.
Los 36 BAYC y 18 MAYC que tenía el explotador están ahora en nuestro poder.
Le hemos enviado el 10% del precio mínimo de las colecciones como recompensa. Trabajaremos con las víctimas afectadas para devolvérselas sin coste alguno.
Justo después de esta pausa para el café…
Víctimas por favor…
– Boring Security (@BoringSecDAO) Diciembre 17, 2023
Por su parte, el hacker transfirió los fondos que se le pagaron a la licuadora de criptomonedas Tornado Cash con el fin de borrar los rastros en la cadena
También hay que destacar que gracias a los esfuerzos de 0xfoobar, 0xf4d3 y 0xqit, algunos NFT pudieron ser recuperados rápidamente, y este último consiguió que el fallo se corrigiera desplegando un parche on-chain tras un acuerdo con NFT Trader.
Una historia que, por tanto, terminará con una nota positiva, aunque pone de manifiesto los peligros inherentes a los permisos que se pueden conceder a ciertos contratos inteligentes, aunque a simple vista sean seguros.