Ausnutzung des RareStakingV1-Vertrags
Der RareStakingV1-Vertrag des NFT-Marktplatzes SuperRare wurde ausgenutzt, wodurch Angreifer 11,9 Millionen RARE-Token abziehen konnten. Wichtig ist, dass die Schwachstelle den zugrunde liegenden $RARE-Token-Vertrag oder dessen Kernfunktionen nicht beeinträchtigt hat. Der ausgebeutete RareStakingV1-Vertrag von SuperRare war Teil der Staking- und Kurationsinitiative der Plattform, die im August 2023 gestartet wurde. Das Rare-Protokoll wurde als Lösung für ein anhaltendes Problem im NFT-Bereich eingeführt: die qualitativ hochwertige Kuratierung und Entdeckung von Kreatoren. Durch den Curation-Staking-Mechanismus nutzen die Teilnehmer den nativen $RARE-Token, um auf Künstler zu setzen, ihren Community-Pools beizutreten und Belohnungen zu erhalten, wenn diese Künstler Verkäufe tätigen.
Ursprung des Exploits
Der Exploit resultierte aus einer fehlerhaften Berechtigungsprüfung in der Funktion updateMerkleRoot innerhalb des RareStakingV1-Vertrags. Diese Funktion sollte Updates des Merkle Roots einschränken, der die Staking- und Belohnungsansprüche verifiziert. Der Code konnte dies jedoch nicht durchsetzen, sodass jeder den Merkle Root ändern und Token beanspruchen konnte. Infolgedessen konnte jede Adresse die Überprüfung bestehen und unbefugte Ansprüche geltend machen.
Blockaid berichtete, dass der Exploit in zwei Schritten ablief: Zuerst setzte der Angreifer einen Exploit-Vertrag ein. Bevor der Angreifer seinen Exploit ausführen konnte, beobachtete eine andere Adresse die ausstehende Transaktion und überholte sie im folgenden Block, wodurch die Gelder erfolgreich abgezogen wurden.
Cyvers bestätigte dieses Front-Running-Ereignis und verfolgte die Finanzierung des ursprünglichen Angreifers zu Tornado Cash etwa 186 Tage zuvor. Weitere Recherchen ergaben jedoch, dass der Angreifer möglicherweise ein aktiver DeFi-Farmer ist, da die Adresse mit mehreren Plattformen interagiert hat, darunter Pendle, Uniswap, Odos, Reservoir und Morpho. Bemerkenswerterweise bleiben die Gelder im Wert von etwa 731.000 USD im Vertrag des Angreifers und wurden nicht über Börsen oder Mixing-Dienste bewegt oder gewaschen. Bis jetzt hat SuperRare keinen Nachbericht oder detaillierten Sanierungsplan veröffentlicht.
Marktsituation und Auswirkungen
Dieser Exploit kommt zu einem Zeitpunkt, an dem der NFT-Sektor Anzeichen einer Wiederbelebung zeigt. Nach einem langen Marktrückgang hat der NFT-Bereich innerhalb von nur 24 Stunden über 1 Milliarde USD an Wert hinzugewonnen, wobei die Handelsvolumina um 287 % auf 37,4 Millionen USD gestiegen sind. Diese Wiederbelebung ist eng mit dem anhaltenden Anstieg von Ethereum verbunden, wobei ETH im vergangenen Monat um 55 % zulegte und vorübergehend 3.814 USD erreichte, den höchsten Preis seit Dezember 2024.
Da viele NFTs in ETH bewertet sind, hat die bullische Dynamik das Käuferinteresse revitalisiert und die Bodenpreise in den Top-Kollektionen erhöht. CryptoPunks und Pudgy Penguins haben sich als Vorreiter in dieser Erholung herauskristallisiert. CryptoPunks verzeichneten einen Anstieg des Bodenpreises um 16 % auf 47,5 ETH (ca. 179.000 USD) und generierten innerhalb von 24 Stunden 14 Millionen USD an Verkäufen. Pudgy Penguins folgten dicht dahinter mit einem täglichen Handelsvolumen von 5,7 Millionen USD und einem Anstieg des Bodenpreises um 15 %.
