NFT 市场 SuperRare 的 RareStakingV1 合约遭到攻击
NFT 市场 SuperRare 的 RareStakingV1 合约遭到攻击,攻击者成功提取了 1190 万个 RARE 代币。值得注意的是,此次漏洞并未影响到基础的 $RARE 代币合约及其核心功能。SuperRare 被攻击的 RareStakingV1 合约是该平台于 2023 年 8 月 推出的质押和策展计划的一部分。Rare Protocol 的推出旨在解决 NFT 领域中一个持续存在的问题:优质策展和创作者发现。通过其策展质押机制,参与者可以使用本地的 $RARE 代币对艺术家进行质押,加入他们的社区池,并在这些艺术家进行销售时获得奖励。
漏洞来源与攻击过程
根据 Web3 安全公司 Blockaid 和威胁情报平台 MistEye 的警报,此次漏洞源于 RareStakingV1 合约中 updateMerkleRoot 函数的权限检查存在缺陷。该函数旨在限制对 Merkle Root 的更新,以验证质押和奖励的索赔。然而,代码未能强制执行这一限制,导致任何人都可以修改 Merkle Root 并索取代币。因此,任何地址都可以通过验证并进行未经授权的索赔。
Blockaid 报告称,此次攻击分为两个步骤:首先,攻击者部署了一个攻击合约。在攻击者执行其攻击之前,另一个地址观察到了待处理的交易,并在下一个区块中进行了抢先交易,成功提取了资金。
Cyvers 确认了这一抢先交易事件,并追踪到原始攻击者的资金来源于约 186 天前的 Tornado Cash。然而,进一步的研究显示,攻击者可能是“活跃的 DeFi 农民”,因为该地址与多个平台进行了交互,包括 Pendle、Uniswap、Odos、Reservoir 和 Morpho。值得注意的是,价值约 731,000 美元 的资金仍然保留在攻击者的合约中,并未通过交易所或混合服务进行转移或洗钱。至今,SuperRare 尚未发布事后分析或详细的补救计划。
NFT 市场复苏后的首次攻击
此次攻击发生在 NFT 行业开始显现复苏迹象之际。在经历了长时间的市场低迷后,NFT 领域在短短 24 小时 内增加了超过 10 亿美元 的价值,交易量激增 287%,达到了 3740 万美元。这一复苏与以太坊的持续上涨密切相关,ETH 在过去一个月内上涨了 55%,一度达到 3814 美元,这是自 2024 年 12 月 以来的最高价。由于许多 NFT 以 ETH 定价,其看涨势头重新激发了买家的兴趣,并推动了顶级系列的底价上涨。
CryptoPunks 和 Pudgy Penguins 在此次复苏中表现突出。CryptoPunks 的底价上涨了 16%,达到了 47.5 ETH(约 179,000 美元),在 24 小时 内产生了 1400 万美元 的销售额。Pudgy Penguins 紧随其后,日交易量达到 570 万美元,底价上涨了 15%。
