NFT-markedsplassen SuperRare: Utnyttelse av RareStakingV1-kontrakt
NFT-markedsplassen SuperRare sin RareStakingV1-kontrakt ble utnyttet, noe som tillot angripere å tømme 11,9 millioner RARE-tokens. Det er viktig å merke seg at sårbarheten ikke kompromitterte den underliggende $RARE-tokenkontrakten eller dens kjernefunksjoner. Den utnyttede RareStakingV1-kontrakten var en del av plattformens staking- og kurateringsinitiativ som ble lansert i august 2023.
Rare Protocol ble introdusert som en løsning på et vedvarende problem i NFT-rommet: kvalitetskuratering og oppdagelse av skapere. Gjennom sin Curation Staking-mekanisme bruker deltakerne den innfødte $RARE-tokenen til å stake på kunstnere, bli med i deres Community Pools, og motta belønninger når disse kunstnerne gjør salg.
Utnyttelsens opprinnelse
SuperRare Staking-kontrakt utnyttelse opprinnelse: Feil i tillatelsessjekk i updateMerkleRoot. Ifølge varslet fra Web3-sikkerhetsfirmaet Blockaid og trusselintelligensplattformen MistEye, stammer utnyttelsen fra en feil i tillatelsessjekken i «updateMerkleRoot»-funksjonen innen RareStakingV1-kontrakten. Funksjonen var designet for å begrense oppdateringer til Merkle Root, som verifiserer staking og belønningskrav. Imidlertid klarte ikke koden å håndheve dette, noe som lot hvem som helst endre Merkle Root og kreve tokens. Som et resultat kunne enhver adresse bestå verifisering og gjøre uautoriserte krav.
Blockaid rapporterte at utnyttelsen skjedde i to trinn: først ble angrepet utført ved å deployere en utnyttelseskontrakt. Før angriperen kunne utføre sitt angrep, observerte en annen adresse den ventende transaksjonen og front-ran den i den påfølgende blokken, og klarte å tømme midlene.
Cyvers bekreftet denne front-running-hendelsen og sporet den opprinnelige angriperens finansiering til Tornado Cash omtrent 186 dager tidligere. Videre forskning avslørte at angriperen kan være «en aktiv DeFi-farmer», ettersom adressen har interagert med flere plattformer, inkludert Pendle, Uniswap, Odos, Reservoir og Morpho.
Det er bemerkelsesverdig at midlene, verdsatt til omtrent $731,000, forblir i angriperens kontrakt og har ikke blitt flyttet eller hvitvasket gjennom børser eller blandingstjenester. Per nå har ikke SuperRare utgitt en post-mortem eller detaljert utbedringsplan.
Gjenoppretting av NFT-markedet
Første utnyttelse etter at NFT-markedet kommer tilbake med $1B gjenoppliving: Denne utnyttelsen skjer samtidig som NFT-sektoren begynner å vise tegn til gjenoppretting. Etter en lang markedsnedgang la NFT-rommet til over $1 milliard i verdi på bare 24 timer, med handelsvolumer som steg 287% til $37,4 millioner. Denne gjenopprettelsen er nært knyttet til Ethereums pågående rally, med ETH som har økt med 55% den siste måneden og midlertidig nådd $3,814, sin høyeste pris siden desember 2024.
Fordi mange NFTs er priset i ETH, har dens bullish momentum revitalisert kjøperinteressen og drevet opp gulvprisene på tvers av toppsamlinger. CryptoPunks og Pudgy Penguins har dukket opp som frontløpere i denne gjenopprettelsen. CryptoPunks så en 16% økning i gulvprisen til 47,5 ETH (omtrent $179,000), og genererte $14 millioner i salg over 24 timer. Pudgy Penguins fulgte tett etter, med $5,7 millioner i daglig handelsvolum og en 15% økning i gulvprisen.
