Несгораемые токены (NFT) на миллионы долларов из флагманских коллекций, таких как Bored Ape Yacht Club (BAYC), Mutant Ape Yacht Club (MAYC) и Cool Cats, были украдены из-за недостатка в старых смарт-контрактах NFT Trader. Что же произошло, что позволило провести такую атаку?
Миллионы долларов NFT пропали, большая часть из BAYC
Вчера, в субботу 16 декабря, многие владельцы нефункционирующих токенов (NFT) из коллекций голубых фишек с неприятным удивлением наблюдали, как их цифровые произведения испарились из их кошельков.
В общей сложности хакер похитил 36 NFT из флагманской коллекции Bored Ape Yacht Club (BAYC) и 18 NFT из побочной коллекции Mutant Ape Yacht Club, а также несколько NFT из коллекций World of Women, VeeFriends, Cool Cats и Squiggle. У людей, владеющих токенами Apecoins (APE), связанными с BAYC, они также были украдены.
Что объединяло несчастных жертв этой крупной атаки? Все они предоставили полномочия по крайней мере одному рискованному смарт-контракту на платформе NFT Trader, которая сама опубликовала заявление, подтверждающее факт взлома, позже в тот же день:
Мы подверглись атаке на старые смарт-контракты, пожалуйста, удалите делегирование с помощью https://t.co/zEMgkS96nP по следующим адресам:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af— NFT Trader (@NftTrader) December 16, 2023
«Мы подверглись атаке на старые смарт-контракты, пожалуйста, удалите делегирование с помощью Revoke.cash по следующим адресам […]. «
Впоследствии злоумышленник передал несколько запутанное сообщение на цепочке, в котором говорилось, что «обезьяны в безопасности, и в конце концов они вернутся к своему пользователю». По его словам, сначала он хотел воспользоваться недостатком, инициированным другим хакером, но потом понял, что может утащить много ценных NFT
«Сначала, как обычно, я пришел сюда, чтобы забрать отходы. Сначала я думал, что могу получить только TOKEN, но со временем обнаружил, что могу получить и NFT. Я не очень много знаю о NFT, но я посмотрел на цену NFT и думаю, что здесь можно заработать на подвиге. […] Если вы хотите вернуть NFT обезьяны, вы должны заплатить мне премию, это то, что я заслуживаю. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Вы должны заплатить мне 10% ETH за мою работу, если у вас есть BAYC […] Вы должны заплатить мне 3 ETH, если это BAYC, и 3,6 ETH, если это MAYC».
Автор кражи NFT
NFT наконец-то вернулись к владельцам
Поначалу злоумышленник, похоже, решил вернуть некоторые NFT самостоятельно, иногда даже с определенной суммой в Эфирах (ETH), как сообщил владелец украденного BAYC на X, после его восстановления:
А теперь хакер только что отправил мне 31 Eth? Что вообще происходит. Это что, реальная жизнь?
— Рики Сандерс (@RSandersDFS) Декабрь 16, 2023
«И теперь хакер только что отправил мне 31 ETH? Что происходит? Это правда?»
Этим утром Boring Security, волонтерская группа, которая занимается распространением передовых методов безопасности для держателей NFT и иногда проводит расследования на цепи, сообщила, что 36 BAYC и 18 MAYC были возвращены им в обмен на 10-процентную премию к минимальной цене коллекций, и что награбленное будет возвращено жертвам.
Все 36 BAYC и 18 MAYC, которые были у эксплуататора, теперь находятся в нашем распоряжении.
Мы отправили ей 10% от минимальной стоимости коллекций в качестве вознаграждения. Мы будем работать с пострадавшими жертвами, чтобы вернуть их им бесплатно.
Сразу после кофе-брейка…
Жертвы, пожалуйста…
— Boring Security (@BoringSecDAO) December 17, 2023
Со своей стороны, хакер перевел выплаченные ему средства на криптовалютный блендер Tornado Cash, чтобы стереть следы на цепочке
Скриншот, показывающий некоторые транзакции, совершенные хакером
Следует также отметить, что благодаря усилиям 0xfoobar, 0xf4d3 и 0xqit некоторые NFT удалось быстро восстановить, а последнему удалось добиться того, что дефект был исправлен путем установки патча на цепочку после соглашения с NFT Trader.
История, которая, таким образом, заканчивается на позитивной ноте, хотя она и подчеркивает опасности, присущие разрешениям, которые могут быть предоставлены определенным смарт-контрактам, даже если они безопасны на первый взгляд.
