NFT Trader потеряла около $3 млн в результате взлома

Неизвестные совершили атаку на устаревшие смарт-контракты платформы NFT Trader и вывели невзаимозаменяемые токены. Команда проекта подтвердила инцидент.

Специалисты Revoke Cash оценили убытки примерно в $3 млн. Большую часть ущерба составили NFT из коллекций Bored Ape Yacht Club (BAYC) и Mutant Ape Yacht Club (MAYC).

Позднее неизвестный объявил о готовности вернуть украденные NFT за вознаграждение в размере 10%. По его заявлению, первоначальным хакером был другой пользователь.

"Я хороший человек. Стоимость этих NFT достаточна для свободной жизни, но меня это не волнует. Я предпочитаю собирать остатки мусора. [...] Если вы хотите вернуть NFT, заплатите мне вознаграждение, которое я заслуживаю", - написал он.

После этого ДАО Boring Security объявило о возврате 36 BAYC и 18 MAYC, обеспечив пострадавших от взлома бесплатным возвращением их токенов. Команда заплатила 10% стоимости за каждый токен.

Ранее окружной суд США обязал создателей "поддельных" BAYC выплатить компенсацию в размере $1,6 млн. компании Yuga Labs.

В октябре прошлого года студия, стоящая за популярными NFT-коллекциями, объявила о сокращении сотрудников и переориентации на метавселенную Otherside.

В июле редкий NFT BAYC #3953 был продан за 200 ETH (~$372 000 на момент сделки), что значительно ниже пиковых значений.

В августе NFT BAYC #8585 был приобретен за рекордно низкие 153 ETH (примерно $254 000). За 11 месяцев актив потерял в цене 80%.

Как всё произошло?

Платформа для торговли невзаимозаменяемыми токенами (NFT) NFT Trader недавно подверглась серьезному взлому, в результате которого были украдены NFT на сумму почти 3 миллиона долларов. Это произошло 16 декабря, и в ходе нескольких атак были похищены ценные NFT, включая 13 токенов Mutant Ape Yacht Club и 37 Bored Ape, а также другие из коллекций VeeFriends и World of Women.

Злоумышленники использовали уязвимость в устаревшем смарт-контракте, что позволило им осуществить несанкционированные переводы NFT от законных владельцев из-за ранее предоставленных разрешений на торговлю. После атаки NFT Trader рекомендовал своим пользователям отозвать доступ к некоторым старым смарт-контрактам, которые были скомпрометированы.

В результате переговоров похищенные NFT, в частности из коллекций Bored Ape Yacht Club (BAYC) и Mutant Ape Yacht Club (MAYC), были возвращены после выплаты вознаграждения. Инициативу по возвращению возглавила организация Boring Security, некоммерческий проект по безопасности в сфере Web3, финансируемый ApeCoin. Все активы были восстановлены менее чем за 24 часа после выплаты вознаграждения в размере 120 эфиров (ETH), что на тот момент составляло примерно 267 000 долларов. Вознаграждение выплатил Грег Солано, сооснователь Yuga Labs, создателя обеих коллекций NFT. Компания поддержала переговоры по возвращению токенов и их бесплатной передаче их законным владельцам.

Уязвимость, приведшая к взлому, была введена после обновления смарт-контракта за 11 дней до атаки. Это обновление позволило неправомерно использовать функцию мультизвонка, что привело к несанкционированным переводам. После инцидента появились призывы к пользователям отозвать все разрешения, предоставленные двум старым контрактам, поскольку существовал риск повторного кражи NFT, если разрешения не будут отозваны. Разработчик, обнаруживший эту уязвимость, помог команде NFT Trader остановить атаку сразу после ее обнаружения.

Этот инцидент подчеркивает риски, связанные с уязвимостями смарт-контрактов, и важность поддержания актуальных мер безопасности в быстро развивающемся мире блокчейна и NFT.