Скомпрометированный контракт RareStakingV1
Контракт RareStakingV1 NFT-рынка SuperRare был скомпрометирован, что позволило злоумышленникам вывести 11,9 миллиона токенов RARE. Важно отметить, что уязвимость не затронула основной контракт токена $RARE и его ключевые функции. Скомпрометированный контракт RareStakingV1 был частью инициативы по стекингу и кураторству платформы, запущенной в августе 2023 года.
Протокол Rare был представлен как решение постоянной проблемы в пространстве NFT: качественное кураторство и поддержка создателей. Через механизм Curation Staking участники используют родной токен $RARE для стекинга на художников, присоединяются к их Community Pools и получают вознаграждения, когда эти художники совершают продажи.
Происхождение эксплуатации контракта
Ошибка проверки прав в функции updateMerkleRoot. Согласно предупреждению от веб3-агентства безопасности Blockaid и платформы разведки угроз MistEye, эксплуатация возникла из-за ошибочной проверки прав в функции «updateMerkleRoot» внутри контракта RareStakingV1. Эта функция была предназначена для ограничения обновлений корня Меркла, который проверяет стекинг и требования на вознаграждения. Однако код не смог обеспечить это, позволив любому изменить корень Меркла и требовать токены. В результате любой адрес мог пройти проверку и сделать несанкционированные требования.
Blockaid сообщила, что эксплуатация развивалась в два этапа: сначала злоумышленник развернул контракт для эксплуатации. Прежде чем злоумышленник смог выполнить свою атаку, другой адрес заметил ожидающую транзакцию и опередил её в следующем блоке, успешно выведя средства.
Cyvers подтвердила этот случай опережающей торговли и проследила финансирование первоначального злоумышленника до Tornado Cash примерно за 186 дней до этого. Однако дальнейшие исследования показали, что злоумышленник может быть «активным DeFi фермером», так как адрес взаимодействовал с несколькими платформами, включая Pendle, Uniswap, Odos, Reservoir и Morpho.
Состояние средств и последствия
Примечательно, что средства, оцененные примерно в $731,000, остаются в контракте злоумышленника и не были перемещены или отмыты через биржи или миксеры. На данный момент SuperRare не выпустила посмертный отчет или подробный план по устранению последствий.
Возрождение рынка NFT
Эта эксплуатация произошла на фоне того, что сектор NFT начинает показывать признаки возрождения. После длительного спада на рынке пространство NFT добавило более $1 миллиарда в стоимости всего за 24 часа, при этом объемы торгов выросли на 287% до $37,4 миллиона. Это возрождение тесно связано с продолжающимся ралли Ethereum, где ETH вырос на 55% за последний месяц и временно достиг $3,814, своей самой высокой цены с декабря 2024 года.
Поскольку многие NFT оцениваются в ETH, его бычий импульс возродил интерес покупателей и поднял минимальные цены по ведущим коллекциям. CryptoPunks и Pudgy Penguins стали лидерами в этом восстановлении. CryptoPunks увидели 16% рост минимальной цены до 47,5 ETH (примерно $179,000), генерируя $14 миллионов в продажах за 24 часа. Pudgy Penguins следовали близко, привлекая $5,7 миллиона в ежедневном объеме торгов и 15% увеличение минимальной цены.
