Bored Ape Yacht Club(BAYC)、Mutant Ape Yacht Club(MAYC)、Cool Catsなどの主要コレクションから数百万ドル相当のNon-fungibleトークン(NFT)が、古いNFT Traderスマートコントラクトの欠陥により盗まれました。このような攻撃が行われた原因は何だったのでしょうか?
数百万ドルのNFTが消失、その大半はBAYCから
昨日12月16日(土)、ブルーチップ・コレクションのノン・ファンジブル・トークン(NFT)の所有者の多くが、デジタル作品がウォレットから蒸発するという不運なサプライズを経験しました。
World of Women」、「VeeFriends」、「Cool Cats」、「Squiggle」コレクションのNFTに加え、フラッグシップコレクションである「Bored Ape Yacht Club(BAYC)」コレクションの36NFTとスピンオフコレクションである「Mutant Ape Yacht Club」コレクションの18NFTがハッカーに乗っ取られました。BAYCにリンクされたトークンであるアペコイン(APE)を保有する個人も盗まれました。
この大規模な攻撃の不幸な犠牲者に共通するものは何だろうか?彼らはすべて、NFT Traderプラットフォーム上の少なくとも1つの危険なスマートコントラクトに権限を付与していたのです。
旧スマートコントラクトへの攻撃がありましたので、https://t.co/zEMgkS96nP を使用して委任を削除してください:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) 2023年12月16日
“古いスマートコントラクトに対する攻撃を受けました。以下のアドレスでRevoke.cashを使用して委任を削除してください。”
その後、攻撃者はやや紛らわしいオンチェーンメッセージを送信し、”サルは安全であり、いずれユーザーの元に戻るだろう “と述べた。同氏によると、当初は別のハッカーが引き起こした欠陥を利用しようとしていたが、その後、価値の高いNFT
を多数吸い上げることができると気づいたという。
「最初はいつものように、残飯を引き取りに来た。最初はTOKENしかもらえないと思っていたのですが、NFTももらえることがわかりました。NFTのことはよく知らないが、NFTの価格を見たことがある。[…]猿のNFTを返して欲しければ、プレミアムを払え、それが当然だ。1 bayc = 30 eth 1 mayc = 6 eth. BAYCなら10ETH、MAYCなら3.6ETHを支払う必要がある」。
NFT
盗難の作者
NFTがついに所有者に返還
。
当初、攻撃者はいくつかのNFTを自力で返却することにしたようで、時には一定額のイーサ(ETH)を支払うこともあったようです。
そして今、ハッカーは私に31ETHを送ってきた?一体どうなってるんだ。これは現実なのか?
– Ricky Sanders (@RSandersDFS) 2023年12月16日
「そして今、ハッカーが31ETHを送ってきた?どうなってるんだ?これはマジなのか?”
今朝、NFTホルダーのための優れたセキュリティ慣行を共有するために活動し、時にはオンチェーン調査を行うボランティアグループであるBoring Securityは、36のBAYCと18のMAYCがコレクションのフロア価格の10%のプレミアムと引き換えに彼らに返却され、戦利品は被害者に還元されると述べた
。
搾取者が持っていた36個のBAYCと18個のMAYCはすべて私たちの手元にある。
私たちは懸賞金としてコレクションのフロア価格の10%を彼女に送りました。被害に遭われた方々には無料でお返しする予定です。
コーヒーブレイクの後は…
被害者の皆さん、お願いします…
-ボーリング・セキュリティ (@BoringSecDAO) 2023年12月17日
ハッカー側は、オンチェーンの痕跡を消すために、彼に支払われた資金を暗号通貨ブレンダーのトルネードキャッシュに送金した。
ハッカーによる取引の一部を示すスクリーンショット
また、0xfoobar、0xf4d3、0xqitの尽力により、一部のNFTは迅速に復旧することができ、後者はNFT Traderとの合意に従ってオンチェーンパッチを展開することで、欠陥を確実に修正することができたことも指摘しておく。
一見すると安全であっても、特定のスマートコントラクトに付与される権限に内在する危険性を浮き彫りにするものではあるが、それゆえにポジティブな形で幕を閉じることになる話である
。
