Exploits nel Contratto RareStakingV1 di SuperRare
Il contratto RareStakingV1 del marketplace NFT SuperRare è stato sfruttato, consentendo agli attaccanti di drenare 11,9 milioni di token RARE. È importante notare che la vulnerabilità non ha compromesso il contratto del token $RARE sottostante né le sue funzionalità principali. Il contratto RareStakingV1 di SuperRare faceva parte dell’iniziativa di staking e curatela della piattaforma, lanciata nell’agosto 2023. Il Rare Protocol è stato introdotto come soluzione a un problema persistente nel settore NFT: la curatela di qualità e la scoperta dei creatori. Attraverso il suo meccanismo di Curation Staking, i partecipanti utilizzano il token nativo $RARE per scommettere sugli artisti, unirsi ai loro Community Pools e ricevere ricompense quando quegli artisti effettuano vendite.
Origine dell’Exploit
Secondo l’allerta della società di sicurezza Web3 Blockaid e della piattaforma di intelligence sulle minacce MistEye, l’exploit è derivato da un controllo dei permessi difettoso nella funzione “updateMerkleRoot” all’interno del contratto RareStakingV1. Questa funzione era progettata per limitare gli aggiornamenti alla Radice Merkle, che verifica le richieste di staking e ricompense. Tuttavia, il codice non è riuscito a far rispettare questo vincolo, consentendo a chiunque di modificare la Radice Merkle e richiedere token.
Di conseguenza, qualsiasi indirizzo poteva superare la verifica e fare richieste non autorizzate. Blockaid ha riportato che l’exploit si è svolto in due fasi: prima, l’attaccante ha distribuito un contratto di exploit. Prima che l’attaccante potesse eseguire il suo exploit, un altro indirizzo ha osservato la transazione in attesa e l’ha anticipata nel blocco successivo, drenando con successo i fondi. Cyvers ha confermato questo evento di front-running e ha tracciato il finanziamento dell’attaccante originale a Tornado Cash circa 186 giorni prima. Tuttavia, ulteriori ricerche hanno rivelato che l’attaccante potrebbe essere “un agricoltore DeFi attivo”, poiché l’indirizzo ha interagito con diverse piattaforme, tra cui Pendle, Uniswap, Odos, Reservoir e Morpho. È interessante notare che i fondi, valutati a circa 731.000 dollari, rimangono nel contratto dell’attaccante e non sono stati spostati o riciclati attraverso scambi o servizi di mixing. Ad oggi, SuperRare non ha rilasciato un post-mortem o un piano di rimedio dettagliato.
Impatto sul Mercato NFT
Questo exploit arriva mentre il settore NFT inizia a mostrare segni di ripresa. Dopo un lungo calo del mercato, lo spazio NFT ha aggiunto oltre 1 miliardo di dollari di valore in sole 24 ore, con i volumi di trading che sono aumentati del 287% a 37,4 milioni di dollari. Questa ripresa è strettamente legata al rally in corso di Ethereum, con ETH che ha guadagnato il 55% nell’ultimo mese e ha toccato momentaneamente 3.814 dollari, il suo prezzo più alto da dicembre 2024.
Poiché molti NFT sono prezzati in ETH, il suo slancio rialzista ha rivitalizzato l’interesse degli acquirenti e ha fatto aumentare i prezzi minimi in tutte le principali collezioni. CryptoPunks e Pudgy Penguins sono emersi come leader in questa ripresa. CryptoPunks ha visto un aumento del 16% nel prezzo minimo a 47,5 ETH (circa 179.000 dollari), generando 14 milioni di dollari in vendite in 24 ore. Pudgy Penguins ha seguito da vicino, portando a casa 5,7 milioni di dollari in volume di trading giornaliero e un aumento del 15% nel prezzo minimo.
