Milioni di dollari di token non fungibili (NFT) provenienti da collezioni di punta come Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) e Cool Cats sono stati rubati a causa di una falla nei vecchi contratti smart di NFT Trader. Cosa è successo per permettere un simile attacco?
Milioni di dollari NFT spariti, la maggior parte da BAYC
Ieri, sabato 16 dicembre, molti proprietari di token non fungibili (NFT) di collezioni di blue chip hanno avuto la spiacevole sorpresa di vedere le loro opere digitali evaporare dai loro portafogli.
In totale, 36 NFT della collezione di punta Bored Ape Yacht Club (BAYC) e 18 NFT della collezione spin-off Mutant Ape Yacht Club sono stati dirottati dall’hacker, oltre a una serie di NFT delle collezioni World of Women, VeeFriends, Cool Cats e Squiggle. Anche i possessori di Apecoin (APE), i token legati a BAYC, hanno subito il furto.
Cosa avevano in comune le sfortunate vittime di questo grave attacco? Tutte avevano concesso l’autorizzazione ad almeno uno smart contract a rischio sulla piattaforma NFT Trader, che ha rilasciato una dichiarazione che conferma la violazione nel corso della giornata:
Abbiamo subito un attacco a vecchi smart contract, si prega di rimuovere la delega utilizzando https://t.co/zEMgkS96nP ai seguenti indirizzi:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) Dicembre 16, 2023
“Abbiamo subito un attacco ai vecchi smart contract, per favore rimuovete la delega usando Revoke.cash ai seguenti indirizzi […]. “
Successivamente, l’aggressore ha trasmesso un messaggio on-chain alquanto confuso, affermando che “le scimmie sono al sicuro e alla fine torneranno dal loro utente”. Secondo l’autore, inizialmente voleva approfittare di una falla avviata da un altro hacker, prima di rendersi conto che avrebbe potuto sottrarre molti NFT di alto valore
“All’inizio, come al solito, sono venuto qui per raccogliere i rifiuti residui. All’inizio pensavo di poter prendere solo TOKEN, ma alla fine ho scoperto che potevo prendere anche NFT. Non ne so molto di NFT, ma ho dato un’occhiata al loro prezzo e penso che ci sia molto da guadagnare con gli exploit. […] Se volete indietro l’NFT della scimmia, dovete pagarmi un premio, è quello che mi merito. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Devi pagarmi il 10% di ETH per il mio lavoro se hai un BAYC […] Devi pagarmi 3 ETH se è un BAYC e 3,6 ETH se è un MAYC”.
Autore del furto NFT
NFT finalmente restituiti ai proprietari
In un primo momento, l’aggressore sembra aver deciso di restituire alcuni NFT per conto proprio, a volte anche con una certa somma in Ethers (ETH), come riportato da un proprietario di un BAYC rubato su X, dopo averlo recuperato:
E ora l’hacker mi ha appena inviato 31 ETH? Che diavolo sta succedendo? È questa la vita reale?
– Ricky Sanders (@RSandersDFS) Dicembre 16, 2023
“E ora l’hacker mi ha appena inviato 31 ETH? Cosa sta succedendo? È tutto vero? “
Questa mattina, Boring Security, un gruppo di volontari che lavora per condividere buone pratiche di sicurezza per i titolari di NFT e talvolta conduce indagini sulla catena, ha dichiarato che i 36 BAYC e i 18 MAYC erano stati restituiti loro in cambio di un premio del 10% sul prezzo base delle collezioni, e che il bottino sarebbe stato restituito alle vittime.
Tutti i 36 BAYC e i 18 MAYC che la sfruttatrice aveva sono ora in nostro possesso.
Le abbiamo inviato il 10% del prezzo base delle collezioni come taglia. Lavoreremo con le vittime colpite per restituire loro le collezioni gratuitamente.
Subito dopo la pausa caffè…
Vittime per favore…
– Boring Security (@BoringSecDAO) Dicembre 17, 2023
Da parte sua, l’hacker ha trasferito i fondi che gli sono stati versati al frullatore di criptovalute Tornado Cash per cancellare le tracce sulla catena.
Schermata che mostra alcune delle transazioni effettuate dall’hacker
Va inoltre sottolineato che grazie agli sforzi di 0xfoobar, 0xf4d3 e 0xqit è stato possibile recuperare rapidamente alcuni NFT, e quest’ultimo è riuscito a garantire la correzione della falla distribuendo una patch on-chain in seguito a un accordo con NFT Trader.
Una storia che si conclude quindi con una nota positiva, anche se mette in evidenza i pericoli insiti nei permessi che possono essere concessi a certi smart contract, anche se a prima vista sono sicuri.
