Exploitation du contrat RareStakingV1
Le contrat RareStakingV1 du marché NFT SuperRare a été exploité, permettant aux attaquants de siphonner 11,9 millions de tokens RARE. Il est important de noter que la vulnérabilité n’a pas compromis le contrat sous-jacent du token $RARE ni ses fonctionnalités principales. Le contrat RareStakingV1, exploité de SuperRare, faisait partie de l’initiative de staking et de curation de la plateforme lancée en août 2023. Le protocole Rare a été introduit comme une solution à un problème persistant dans l’espace NFT : la curation de qualité et la découverte des créateurs. Grâce à son mécanisme de Curation Staking, les participants utilisent le token natif $RARE pour miser sur des artistes, rejoindre leurs Community Pools et recevoir des récompenses lorsque ces artistes réalisent des ventes.
Origine de l’exploitation
Selon l’alerte de la société de sécurité Web3 Blockaid et de la plateforme d’intelligence sur les menaces MistEye, l’exploitation provenait d’une vérification de permission défectueuse dans la fonction « updateMerkleRoot » au sein du contrat RareStakingV1.
Cette fonction était conçue pour restreindre les mises à jour de la Merkle Root, qui vérifie les mises et les demandes de récompenses. Cependant, le code n’a pas réussi à appliquer cette restriction, permettant à quiconque de modifier la Merkle Root et de réclamer des tokens. En conséquence, n’importe quelle adresse pouvait passer la vérification et faire des réclamations non autorisées. Blockaid a rapporté que l’exploitation s’est déroulée en deux étapes : d’abord, l’attaquant a déployé un contrat d’exploitation. Avant que l’attaquant ne puisse exécuter son exploitation, une autre adresse a observé la transaction en attente et l’a devancée dans le bloc suivant, siphonnant avec succès les fonds.
Cyvers a confirmé cet événement de front-running et a retracé le financement de l’attaquant original à Tornado Cash environ 186 jours plus tôt. Cependant, des recherches supplémentaires ont révélé que l’attaquant pourrait être « un agriculteur DeFi actif », car l’adresse a interagi avec plusieurs plateformes, y compris Pendle, Uniswap, Odos, Reservoir et Morpho. Notamment, les fonds, d’une valeur d’environ 731 000 $, restent dans le contrat de l’attaquant et n’ont pas été déplacés ou blanchis par le biais d’échanges ou de services de mixage. À l’heure actuelle, SuperRare n’a pas publié de rapport post-mortem ni de plan de remédiation détaillé.
Impact sur le marché NFT
Cette exploitation survient alors que le secteur NFT commence à montrer des signes de résurgence. Après une longue période de déclin du marché, l’espace NFT a ajouté plus d’un milliard de dollars de valeur en seulement 24 heures, avec des volumes de trading grimpant de 287 % à 37,4 millions de dollars. Cette résurgence est étroitement liée au rallye en cours d’Ethereum, l’ETH ayant gagné 55 % au cours du mois dernier et atteignant momentanément 3 814 $, son prix le plus élevé depuis décembre 2024. Étant donné que de nombreux NFTs sont évalués en ETH, son élan haussier a revitalisé l’intérêt des acheteurs et a fait grimper les prix de plancher à travers les principales collections.
CryptoPunks et Pudgy Penguins se sont révélés être des leaders dans cette reprise. CryptoPunks a enregistré une augmentation de 16 % de son prix de plancher à 47,5 ETH (environ 179 000 $), générant 14 millions de dollars de ventes en 24 heures. Pudgy Penguins a suivi de près, attirant 5,7 millions de dollars de volume de trading quotidien et une augmentation de 15 % de son prix de plancher.
