NFTマーケットプレイスSuperRareの攻撃
NFTマーケットプレイスSuperRareのRareStakingV1契約が攻撃を受け、11.9M RAREトークンが流出しました。しかし、重要なことに、この脆弱性は基盤となる$RAREトークン契約やそのコア機能には影響を与えませんでした。SuperRareの攻撃を受けたRareStakingV1契約は、2023年8月に開始されたプラットフォームのステーキングおよびキュレーションイニシアチブの一部です。Rareプロトコルは、NFT空間における持続的な問題である質の高いキュレーションとクリエイターの発見に対する解決策として導入されました。Curation Stakingメカニズムを通じて、参加者はネイティブの$RAREトークンを使用してアーティストにステークし、彼らのコミュニティプールに参加し、アーティストが販売を行うと報酬を受け取ります。
攻撃の詳細
SuperRareステーキング契約の攻撃の起源:updateMerkleRootにおける不適切な権限チェック
Web3セキュリティ企業Blockaidおよび脅威インテリジェンスプラットフォームMistEyeからの警告によると、この攻撃はRareStakingV1契約内の「updateMerkleRoot」関数における不適切な権限チェックに起因しています。この関数は、ステーキングおよび報酬請求を検証するMerkle Rootの更新を制限するように設計されていました。しかし、コードはこれを強制できず、誰でもMerkle Rootを変更し、トークンを請求できるようになってしまいました。その結果、任意のアドレスが検証を通過し、不正な請求を行うことができました。
Blockaidは、攻撃が2つのステップで展開されたと報告しています。まず、攻撃者は攻撃契約を展開しました。攻撃者が攻撃を実行する前に、別のアドレスが保留中のトランザクションを観察し、次のブロックでそれを先行して実行し、資金を成功裏に流出させました。Cyversはこの先行実行イベントを確認し、元の攻撃者の資金を約186日前のTornado Cashに追跡しました。しかし、さらなる調査により、攻撃者は「アクティブなDeFiファーマー」である可能性があることが明らかになりました。このアドレスは、Pendle、Uniswap、Odos、Reservoir、Morphoなどの複数のプラットフォームと相互作用しています。
注目すべきは、約731,000ドル相当の資金が攻撃者の契約内に留まっており、取引所やミキシングサービスを通じて移動または洗浄されていないことです。現時点で、SuperRareは事後報告や詳細な修正計画を発表していません。
NFT市場の復活と攻撃の影響
この攻撃は、NFTセクターが復活の兆しを見せ始めた時期に発生しました。長い市場の低迷の後、NFT空間はわずか24時間で10億ドル以上の価値を追加し、取引量は287%増加して3740万ドルに達しました。この復活は、Ethereumの継続的な上昇に密接に関連しており、ETHは過去1か月で55%上昇し、一時は3814ドルに達し、2024年12月以来の最高価格となりました。多くのNFTがETHで価格設定されているため、その強気の勢いは購入者の関心を再活性化し、主要コレクションのフロア価格を押し上げました。CryptoPunksとPudgy Penguinsは、この回復の先頭に立っています。CryptoPunksはフロア価格が16%上昇し47.5 ETH(約179,000ドル)に達し、24時間で1400万ドルの売上を記録しました。Pudgy Penguinsも続き、日々の取引量で570万ドルを引き寄せ、フロア価格が15%上昇しました。
