NFT-markedspladsen SuperRare’s RareStakingV1-kontrakt udnyttet
NFT-markedspladsen SuperRare‘s RareStakingV1-kontrakt blev udnyttet, hvilket gjorde det muligt for angribere at tømme 11,9 millioner RARE-tokens. Vigtigt er det, at sårbarheden ikke kompromitterede den underliggende $RARE-token kontrakt eller dens kernefunktioner. SuperRare’s udnyttede RareStakingV1-kontrakt var en del af platformens staking- og kurateringsinitiativ, der blev lanceret i august 2023. Rare Protocol blev introduceret som en løsning på et vedholdende problem i NFT-rummet: kvalitetskuratering og opdagelse af skabere. Gennem sin Curation Staking-mekanisme bruger deltagere den indfødte $RARE-token til at stake på kunstnere, deltage i deres Community Pools og modtage belønninger, når disse kunstnere foretager salg.
SuperRare Staking-kontraktens udnyttelse
Oprindelse: Fejl i tilladelseskontrol i updateMerkleRoot
Ifølge advarslen fra Web3-sikkerhedsfirmaet Blockaid og trusselintelligensplatformen MistEye stammede udnyttelsen fra en fejlbehæftet tilladelseskontrol i “updateMerkleRoot”-funktionen inden for RareStakingV1-kontrakten. Funktionen var designet til at begrænse opdateringer til Merkle Root, som verificerer staking- og belønningskrav. Dog fejlede koden i at håndhæve dette, hvilket lod enhver ændre Merkle Root og kræve tokens. Som et resultat kunne enhver adresse bestå verifikationen og foretage uautoriserede krav.
Blockaid rapporterede, at udnyttelsen udfoldede sig i to trin: først deployerede angriberen en udnyttelseskontrakt. Før angriberen kunne udføre deres udnyttelse, observerede en anden adresse den ventende transaktion og front-ran den i den følgende blok, hvilket effektivt tømte midlerne. Cyvers bekræftede denne front-running hændelse og sporede den oprindelige angribers finansiering til Tornado Cash omkring 186 dage tidligere. Yderligere forskning afslørede dog, at angriberen muligvis er “en aktiv DeFi-farmer”, da adressen har interageret med flere platforme, herunder Pendle, Uniswap, Odos, Reservoir og Morpho. Bemærkelsesværdigt er det, at midlerne, der er værdiansat til cirka $731.000, forbliver i angriberens kontrakt og ikke er blevet flyttet eller hvidvasket gennem børser eller blandetjenester. Indtil videre har SuperRare ikke offentliggjort en post-mortem eller detaljeret afhjælpningsplan.
Første udnyttelse efter NFT-markedet genopblusser
Denne udnyttelse kommer, mens NFT-sektoren begynder at vise tegn på genopblussen. Efter et langt markedssammenbrud tilføjede NFT-rummet over $1 milliard i værdi på blot 24 timer, med handelsvolumener der steg med 287% til $37,4 millioner. Denne genopblussen er nært knyttet til Ethereums igangværende rally, hvor ETH steg med 55% over den seneste måned og kortvarigt ramte $3.814, den højeste pris siden december 2024. Da mange NFTs er prissat i ETH, har dens bullish momentum genoplivet køberinteressen og drevet gulvpriserne op på tværs af topkollektioner. CryptoPunks og Pudgy Penguins er steget frem som frontløbere i denne genopretning. CryptoPunks så en stigning på 16% i gulvprisen til 47,5 ETH (cirka $179.000), hvilket genererede $14 millioner i salg over 24 timer. Pudgy Penguins fulgte tæt efter og trak $5,7 millioner i dagligt handelsvolumen og en stigning på 15% i gulvprisen.
