Nogle 'Smol' NFT'er vendte tilbage, efter at Treasure-markedspladsens udnyttelse førte til tyveri

0
186

Jonathan GreigSkrevet af Jonathan Greig, personaleforfatter Jonathan Greig Jonathan Greig Personaleskribent

Jonathan Greig er journalist baseret i New York City.

Fuld bio den 3. marts 2022 | Emne: Sikkerhed

Hackere, der udnyttede en sårbarhed på NFT-markedspladsen Treasure, begyndte at returnere de fleste af de “Smol Brain” og “Legion” NFT'er, de stjal i torsdags.

Folkene bag angrebet var i stand til at præge flere NFT'er gratis takket være sårbarheden.

Blockchain-analysefirmaet PeckShield sagde, at mere end 100 NFT'er blev stjålet fra flere samlinger på Treasure-markedet.

Situationen begyndte tirsdag, da der kom rapporter om, at Treasure-markedspladsen blev udnyttet. Treasure reagerede ikke på anmodninger om kommentarer, men medstifter John Patten tog til Twitter for at bekræfte, at platformen stod over for en bølge af tyverier.

“Skattemarkedspladsen bliver udnyttet. Venligst fjern dine genstande. Vi vil dække omkostningerne ved udnyttelsen – jeg vil personligt opgive alle mine Smols for at reparere dette. Jeg kan ikke fatte, hvilket undermenneske, der målretter en fair lanceringsmarkedsplads for røveri, men de vil ikke besejre samfundet,” sagde Patten.

“Jeg lover at blive ved med at lave gratis mynter, der gør folk glade, selvom denne onde person udnytter hver enkelt. Dette er kun begyndelsen.”

Treasure udgav sin egen officielle erklæring, skriver, at deres team var “fokuseret på at finde de 50 NFT'er, der forbliver stjålet og gøre købere hele.”

En række mennesker sammenlignede problemet med noget populær NFT-markedsplads OpenSea også stod over for for nylig, hvor hackere fik muligheden for at genliste en NFT til en ny pris uden at annullere den tidligere notering.

Andre eksperter som Harry Denley, et medlem af sikkerhedsteamet hos MetaMask, opfordrede brugere til at afliste. Denley fortalte ZDNet, at det problem, Treasure står over for, er anderledes end det, der påvirkede OpenSea, men bemærkede, at slutresultatet var nogenlunde det samme: NFT'er bliver stjålet for en lav, og nogle gange $0, værdi.

“Problemet med Treasure var en logisk fejl i deres smarte kontrakt i buyItem()-funktionen. Funktionen validerede ikke mængden af ​​den fortegnelse, du købte fra, så en dårlig aktør kunne lave en transaktion for at kalde buyItem() for at oprette en specifik købsordre med 0 kvantitet for en notering,” forklarede Denley.

“På grund af 0 kvantitet var prisen, der skulle betales 0 (pris * antal = 0), og hvis den var opfyldt (som i transaktionen sendte det korrekte pengebeløb, som altid vil være $0, for at købe ordren på), blev NFT'erne overført til køberen. Der manglede en simpel fornuftskontrol i funktionen.”

Denley tilføjede at han var usikker på antallet af stjålne NFT'er og deres værdi, men bemærkede, at de fleste er blevet returneret til deres ejere. CoinDesk fastsatte værdien af ​​de stjålne NFT'er til omkring $1,4 millioner.

Denley sagde, at markedspladsen er i en “pause”-tilstand og forklarede, at de indstillede deres Oracle til en “brænd”-adresse i transaktionen, hvilket forårsagede, at al interaktion med markedspladsen mislykkedes.

“Når de har omplaceret kontrakterne med rettelsen og forhåbentlig har kontrakterne revideret, så begynder de at åbne markedspladsen,” sagde Denley.

“Jeg synes, det er værd at bemærke, at det stadig er uafklaret, om dette angreb var en hvid hat eller en sort hat, der havde et hjerteforandring på grund af deres on-chain aktivitet muligvis er forbundet med deres virkelige identitet. F.eks. 201 dage siden modtog udnytteren penge fra en Binance-konto til deres Ethereum-hovednetadresse, som kunne være KYC'et eller afsløret identificere et sted på den platform,” tilføjede han og pegede på en adresse, der var involveret i angrebet.

I Treasures Discord-kanal sagde udviklere, at de identificerede og rettede årsagen til problemet.

“Dette var en grundlæggende fejl, der opstod fra en tidligere rettelse, der burde være blevet identificeret tidligere,” skrev de. “Når vi har den fulde liste over resterende berørte parter, som ikke har modtaget deres stjålne NFT'er tilbage, vil vi foreslå en række afhjælpningsmuligheder for at sikre, at brugerne bliver hele.”

Treasure er den største NFT-markedsplads på Arbitrum blockchain.

Sikkerhed

CISA, FBI advarer USA om WhisperGate og HermeticWiper malware. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Ukraine eller Rusland? Anonyme hacktivister, ransomware-grupper tager parti Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Blockchain | Sikkerheds-tv | Datastyring | CXO | Datacentre