De Quixotic-aanvaller was in staat om de aanbiedingsfunctie te hacken en meer dan $100.000 in Optimism en USDC.
Quixotic, de grootste NFT-marktplaats op Optimism, kondigde op 1 juli aan dat een recente contractupdate werd misbruikt, wat leidde tot het verlies van ERC-20 tokens.
Het team verzekerde gebruikers dat verloren fondsen zouden worden teruggegeven en dat NFT’s die op het platform worden vermeld, niet zijn aangetast. Maar als voorzorgsmaatregel is alle marktplaats activiteit gepauzeerd terwijl devs verder onderzoeken wat er is gebeurd.
We kunnen bevestigen dat een recente update van ons marktplaatscontract is misbruikt, waardoor een hacker goedgekeurde ERC-20 tokens kon stelen.
1. We zullen alle gestolen ERC-20 tokens terugbetalen
2. NFT’s blijven veilig en worden niet beïnvloed door de exploit
3. Alle marktplaats activiteit blijft gepauzeerd https://t.co/wBYt903QVO– Quixotic ✨ – Optimism NFT Marketplace (@quixotic_io) Juli 1, 2022
Quixotic gebruikers hoeven niet in actie te komen omdat het kwetsbare contract is stopgezet, en terugbetalingen zullen “in de komende dagen” de deur uit gaan. “
Meer details over de Quixotic NFT exploit
De exploit werd voor het eerst opgemerkt door het team van NFT-project Apetimism, die de gemeenschap waarschuwden met een tweet in de vroege uren van 1 juli (BST). Het wees de aanbiedingsfunctie aan als de bron van de kwetsbaarheid en stelde leden voor om open aanbiedingen te annuleren om zichzelf te beschermen.
“Een aanvaller valt de “Offer” functie aan. Daarom raden we u aan alle aanbiedingen onmiddellijk te annuleren als u er een hebt. “
Verder uitbreidend, Apetimism zei, gebaseerd op hun analyse, lijkt het erop dat de hacker in staat was om aanbiedingen gemaakt op NFT’s over te brengen naar hun eigen portemonnee. Ze vermoeden dat de hacker hun smart contract heeft ingezet om de bestaande logica te overschrijden om de aanbiedingsfunctie uit te buiten.
Hoe? Een aanvaller zette een contract in om de logica van Quixotic’s slimme contract te omzeilen over de aanbiedingsfunctie. Dit zou hen in staat stellen om alle tokens te stelen die gebruikt worden in elke aanbieding op Quixotic in elke valuta.
– Apetimism | Sold Out (@apetimism) Juli 1, 2022
Apetimism meldde dat er tot nu toe $100.000 verloren was gegaan. Echter, sinds die tweet uitging, toont een analyse van de portemonnee van de hacker verschillende grote uitstromen groter dan $100.000.
De meest significante enkele overboeking naar buiten was voor 110.756 USDC, terwijl de volgende meest aanzienlijke transactie naar buiten was voor 170.882 Optimism (OP), gewaardeerd op $90.500 tegen de huidige prijs.
Een verdere opvolging toont aan dat de hacker actief gestolen fondsen opdeelt in kleinere bedragen en deze naar meerdere andere adressen verstuurt.
Wat is Quixotic?
Quixotic is de grootste NFT marktplaats op het Ethereum layer-2 platform Optimism.
Het heeft een gemiddelde transactiekost van slechts 0,0005 ETH ($1,50), waardoor het platform veel bruikbaarder is voor de meeste NFT-handelaars. Het bedrijf schat dat het zijn leden sinds de oprichting ongeveer $2 miljoen aan gaskosten heeft bespaard.
On-chain tracking laat zien dat het platform de afgelopen 30 dagen $419.500 aan volume heeft omgezet, maar de gebruikersactiviteit is sinds 14 juni aanzienlijk afgenomen.