Miljoenen dollars aan niet-fungibele tokens (NFT) van paradepaardjes als Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) en Cool Cats zijn gestolen door een fout in oude smart contracts van NFT Trader. Wat is er gebeurd waardoor zo’n aanval kon plaatsvinden?
Miljoenen NFT dollars verdwenen, het meeste van BAYC
Gisteren, zaterdag 16 december, hadden veel bezitters van niet-fungibele tokens (NFT) van blue chip-collecties de onfortuinlijke verrassing dat hun digitale werken uit hun portemonnee verdampten.
In totaal werden 36 NFT’s van de vlaggenschip Bored Ape Yacht Club (BAYC) collectie en 18 NFT’s van de spin-off Mutant Ape Yacht Club collectie gekaapt door de hacker, naast een aantal NFT’s van de World of Women, VeeFriends, Cool Cats en Squiggle collecties. Individuen met Apecoins (APE’s), de tokens gekoppeld aan BAYC, werden ook gestolen.
Wat hadden de ongelukkige slachtoffers van deze grote aanval gemeen? Ze hadden allemaal autorisatie verleend aan ten minste één riskant smart contract op het NFT Trader platform, dat zelf later die dag een verklaring uitgaf waarin de inbreuk werd bevestigd:
We hebben een aanval gehad op oude slimme contracten, verwijder de delegatie alstublieft met https://t.co/zEMgkS96nP naar de volgende adressen:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) December 16, 2023
“We hebben een aanval gehad op oude slimme contracten, verwijder de delegatie alstublieft met Revoke.cash op de volgende adressen […].”
Vervolgens verzond de aanvaller een ietwat verwarrend on-chain bericht, waarin stond dat “de apen veilig zijn en uiteindelijk zullen terugkeren naar hun gebruiker.” Volgens hem wilde hij in eerste instantie profiteren van een fout van een andere hacker, voordat hij zich realiseerde dat hij veel hoogwaardige NFT’s kon overhevelen
“In het begin kwam ik hier, zoals gewoonlijk, om restafval op te halen. Eerst dacht ik dat ik alleen TOKEN’s kon krijgen, maar uiteindelijk ontdekte ik dat ik ook NFT’s kon krijgen. Ik weet niet veel over NFT’s, maar ik heb naar de prijs van NFT’s gekeken en ik denk dat er veel winst te halen valt uit uitbuiting. [Als je de NFT van de aap terug wilt, moet je me een premie betalen, dat verdien ik. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Je moet me 10% ETH betalen voor mijn werk als je een BAYC hebt […] Je moet me 3 ETH betalen als het een BAYC is en 3,6 ETH als het een MAYC is”.
Auteur van NFT
diefstal
NFT’s eindelijk teruggegeven aan eigenaars
In het begin lijkt de aanvaller besloten te hebben om sommige NFT’s zelf terug te geven, soms zelfs met een bepaald bedrag in Ethers (ETH), zoals gemeld door een eigenaar van een gestolen BAYC op X, nadat deze was teruggevonden:
En nu heeft de hacker me net 31 eth gestuurd? Wat is er in hemelsnaam aan de hand. Is dit het echte leven?
– Ricky Sanders (@RSandersDFS) December 16, 2023
“En nu heeft de hacker me net 31 ETH gestuurd? Wat is er aan de hand? Is dit echt?”
Vanochtend zei Boring Security, een vrijwilligersgroep die werkt aan het delen van goede beveiligingspraktijken voor NFT-houders en soms on-chain onderzoeken uitvoert, dat de 36 BAYC’s en 18 MAYC’s aan hen waren teruggegeven in ruil voor een premie van 10% op de bodemprijs van de collecties, en dat de buit aan de slachtoffers zou worden teruggegeven.
Alle 36 BAYC en 18 MAYC die de uitbuitster had zijn nu in ons bezit.
We hebben haar 10% van de bodemprijs van de collecties gestuurd als premie. We zullen samenwerken met de getroffen slachtoffers om ze gratis terug te krijgen.
Direct na de koffiepauze…
Slachtoffers alstublieft…
– Boring Security (@BoringSecDAO) December 17, 2023
De hacker heeft van zijn kant het aan hem betaalde geld overgemaakt naar de cryptocurrency blender Tornado Cash om de on-chain sporen te wissen.
Screenshot met enkele van de transacties van de hacker
We moeten er ook op wijzen dat dankzij de inspanningen van 0xfoobar, 0xf4d3 en 0xqit sommige NFT’s snel konden worden hersteld, en de laatste slaagde erin ervoor te zorgen dat het lek werd gecorrigeerd door een on-chain patch uit te rollen na een overeenkomst met NFT Trader.
Een verhaal dat dus eindigt met een positieve noot, hoewel het de gevaren benadrukt die inherent zijn aan de permissies die kunnen worden toegekend aan bepaalde slimme contracten, ook al zijn ze op het eerste gezicht veilig.
