Explotación del contrato RareStakingV1
El contrato RareStakingV1 del mercado NFT SuperRare fue explotado, permitiendo a los atacantes drenar 11.9 millones de tokens RARE. Es importante destacar que la vulnerabilidad no comprometió el contrato subyacente del token $RARE ni sus funcionalidades principales.
Iniciativa de Staking y Curaduría
El contrato RareStakingV1 de SuperRare formó parte de la iniciativa de staking y curaduría de la plataforma lanzada en agosto de 2023. El Protocolo Rare fue introducido como una solución a un problema persistente en el espacio NFT: la curaduría de calidad y el descubrimiento de creadores. A través de su mecanismo de Staking de Curaduría, los participantes utilizan el token nativo $RARE para apostar por artistas, unirse a sus Community Pools y recibir recompensas cuando esos artistas realizan ventas.
Origen del Exploit
El origen del exploit del contrato de Staking de SuperRare se debió a una verificación de permisos defectuosa en la función «updateMerkleRoot». Según la alerta de la firma de seguridad Web3 Blockaid y la plataforma de inteligencia de amenazas MistEye, el exploit se originó en una verificación de permisos defectuosa en esta función dentro del contrato RareStakingV1. La función estaba diseñada para restringir las actualizaciones a la Raíz Merkle, que verifica las reclamaciones de staking y recompensas. Sin embargo, el código no logró hacer cumplir esta restricción, permitiendo que cualquier persona modificara la Raíz Merkle y reclamara tokens.
Como resultado, cualquier dirección podía pasar la verificación y hacer reclamaciones no autorizadas.
Blockaid informó que el exploit se desarrolló en dos pasos: primero, el atacante desplegó un contrato de exploit. Antes de que el atacante pudiera ejecutar su plan, otra dirección observó la transacción pendiente y la adelantó en el siguiente bloque, drenando con éxito los fondos. Cyvers confirmó este evento de front-running y rastreó la financiación del atacante original a Tornado Cash aproximadamente 186 días antes. Sin embargo, investigaciones adicionales revelaron que el atacante podría ser «un agricultor DeFi activo», ya que la dirección ha interactuado con varias plataformas, incluyendo Pendle, Uniswap, Odos, Reservoir y Morpho. Notablemente, los fondos, valorados en aproximadamente $731,000, permanecen en el contrato del atacante y no han sido movidos ni blanqueados a través de intercambios o servicios de mezcla. Hasta ahora, SuperRare no ha publicado un análisis post-mortem ni un plan de remediación detallado.
Impacto en el Mercado NFT
Este es el primer exploit después de que el mercado NFT resurgiera con una recuperación de $1 mil millones. Este exploit ocurre mientras el sector NFT comienza a mostrar signos de resurgimiento. Después de una larga caída del mercado, el espacio NFT agregó más de $1 mil millones en valor en solo 24 horas, con volúmenes de comercio aumentando un 287% a $37.4 millones. Este resurgimiento está estrechamente relacionado con el rally en curso de Ethereum, con ETH ganando un 55% en el último mes y alcanzando momentáneamente los $3,814, su precio más alto desde diciembre de 2024. Dado que muchos NFTs están valorados en ETH, su impulso alcista ha revitalizado el interés de los compradores y ha elevado los precios mínimos en las principales colecciones.
Principales Colecciones en Recuperación
CryptoPunks y Pudgy Penguins han surgido como líderes en esta recuperación. CryptoPunks vio un aumento del 16% en el precio mínimo a 47.5 ETH (aproximadamente $179,000), generando $14 millones en ventas en 24 horas. Pudgy Penguins siguió de cerca, alcanzando $5.7 millones en volumen de comercio diario y un aumento del 15% en el precio mínimo.