Milhões de dólares em tokens não fungíveis (NFT) de coleções emblemáticas como Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) e Cool Cats foram roubados devido a uma falha em contratos inteligentes antigos do NFT Trader. O que aconteceu para permitir que tal ataque ocorresse?
Milhões de dólares NFT desaparecidos, a maioria dos quais do BAYC
Ontem, sábado, 16 de dezembro, muitos proprietários de tokens não fungíveis (NFT) de coleções de blue chip tiveram a infeliz surpresa de ver suas obras digitais evaporarem de suas carteiras.
Ao todo, 36 NFTs da coleção Bored Ape Yacht Club (BAYC) e 18 NFTs da coleção spin-off Mutant Ape Yacht Club foram desviados pelo hacker, para além de vários NFTs das colecções World of Women, VeeFriends, Cool Cats e Squiggle. Os indivíduos que detinham Apecoins (APEs), os tokens ligados ao BAYC, também foram roubados.
O que é que as infelizes vítimas deste grande ataque têm em comum? Todas elas tinham concedido autorização a pelo menos um contrato inteligente arriscado na plataforma NFT Trader, que emitiu uma declaração confirmando a violação mais tarde naquele dia:
Sofremos um ataque a contratos inteligentes antigos, por favor, remova a delegação usando https://t.co/zEMgkS96nP para os seguintes endereços:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af– NFT Trader (@NftTrader) December 16, 2023
“Sofremos um ataque a contratos inteligentes antigos, por favor remova a delegação usando Revoke.cash nos seguintes endereços […]. “
Subsequentemente, o atacante transmitiu uma mensagem um tanto confusa na cadeia, afirmando que “os macacos estão seguros, e eles eventualmente retornarão ao seu usuário”. De acordo com ele, ele inicialmente queria tirar proveito de uma falha iniciada por outro hacker, antes de perceber que poderia desviar muitos NFTs de alto valor
No início, como de costume, vim cá para recolher resíduos. No início, pensei que só podia apanhar TOKENs, mas acabei por descobrir que também podia apanhar NFTs. Não sei muito sobre NFTs, mas estive a ver o preço dos NFTs e acho que há muito lucro a ser feito com as explorações. […] Se queres o NFT do macaco de volta, tens de me pagar um prémio, é o que eu mereço. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Tens de me pagar 10% ETH pelo meu trabalho se tiveres um BAYC […] Tens de me pagar 3 ETH se for um BAYC e 3,6 ETH se for um MAYC”.
Autor do roubo NFT
NFTs finalmente devolvidos aos donos
No início, o atacante parece ter decidido devolver alguns NFTs por conta própria, às vezes até com uma certa quantia em Ethers (ETH), como relatado por um proprietário de um BAYC roubado no X, após recuperá-lo:
E agora o hacker acabou de me enviar 31 eth? Que raio se passa? Isto é a vida real?
– Ricky Sanders (@RSandersDFS) December 16, 2023
“E agora o hacker acabou de me enviar 31 ETH? O que é que se está a passar? Isto é a sério?”
J
Todos os 36 BAYC e 18 MAYC que a exploradora tinha estão agora na nossa posse.
Enviámos-lhe 10% do preço mínimo das colecções como recompensa. Iremos trabalhar com as vítimas afectadas para as devolver gratuitamente.
Logo a seguir a esta pausa para café…
Vítimas, por favor…
– Boring Security (@BoringSecDAO) December 17, 2023
Por sua vez, o hacker transferiu os fundos que lhe foram pagos para o liquidificador de criptomoedas Tornado Cash, a fim de apagar os vestígios na cadeia.
Screenshot showing some of the transactions made by the hacker
Devemos também salientar que, graças aos esforços de 0xfoobar, 0xf4d3 e 0xqit, alguns NFTs puderam ser recuperados rapidamente, e este último conseguiu garantir que a falha fosse corrigida implantando um patch on-chain após um acordo com o NFT Trader.
Uma história que terminará, portanto, com uma nota positiva, embora destaque os perigos inerentes às permissões que podem ser concedidas a certos contratos inteligentes, mesmo que sejam seguros à primeira vista.
