Eksploitasi Kontrak RareStakingV1 di SuperRare
Kontrak RareStakingV1 dari pasar NFT SuperRare telah dieksploitasi, memungkinkan penyerang untuk menguras 11,9 juta token RARE. Penting untuk dicatat bahwa kerentanan ini tidak mempengaruhi kontrak token $RARE yang mendasarinya atau fungsionalitas intinya. Kontrak RareStakingV1 yang dieksploitasi merupakan bagian dari inisiatif staking dan kurasi platform yang diluncurkan pada Agustus 2023.
Protokol Rare diperkenalkan sebagai solusi untuk masalah yang terus-menerus di ruang NFT: kurasi berkualitas dan penemuan kreator. Melalui mekanisme Curation Staking, peserta menggunakan token $RARE asli untuk melakukan staking pada artis, bergabung dengan Community Pools mereka, dan menerima imbalan ketika artis tersebut melakukan penjualan.
Asal Eksploitasi Kontrak Staking SuperRare
Menurut peringatan dari firma keamanan Web3 Blockaid dan platform intelijen ancaman MistEye, eksploitasi ini berasal dari pemeriksaan izin yang cacat dalam fungsi “updateMerkleRoot” di dalam kontrak RareStakingV1. Fungsi ini dirancang untuk membatasi pembaruan pada Merkle Root, yang memverifikasi klaim staking dan imbalan. Namun, kode tersebut gagal menegakkan hal ini, memungkinkan siapa saja untuk memodifikasi Merkle Root dan mengklaim token.
Akibatnya, alamat mana pun dapat melewati verifikasi dan membuat klaim yang tidak sah. Blockaid melaporkan bahwa eksploitasi ini terjadi dalam dua langkah: pertama, penyerang menerapkan kontrak eksploitasi. Sebelum penyerang dapat mengeksekusi eksploitasi mereka, alamat lain mengamati transaksi yang tertunda dan mendahuluinya di blok berikutnya, berhasil menguras dana.
Cyvers mengonfirmasi peristiwa front-running ini dan melacak pendanaan penyerang asli ke Tornado Cash sekitar 186 hari sebelumnya. Namun, penelitian lebih lanjut mengungkapkan bahwa penyerang mungkin “seorang petani DeFi aktif,” karena alamat tersebut telah berinteraksi dengan beberapa platform, termasuk Pendle, Uniswap, Odos, Reservoir, dan Morpho.
Yang menarik, dana yang bernilai sekitar $731,000 tetap berada di kontrak penyerang dan belum dipindahkan atau dicuci melalui bursa atau layanan pencampuran. Hingga saat ini, SuperRare belum merilis laporan pasca-mortem atau rencana remediasi yang terperinci.
Eksploitasi Pertama Setelah Kebangkitan Pasar NFT
Eksploitasi ini terjadi saat sektor NFT mulai menunjukkan tanda-tanda kebangkitan. Setelah penurunan pasar yang panjang, ruang NFT menambahkan lebih dari $1 miliar dalam nilai hanya dalam 24 jam, dengan volume perdagangan melonjak 287% menjadi $37,4 juta. Kebangkitan ini sangat terkait dengan reli Ethereum yang sedang berlangsung, dengan ETH naik 55% dalam sebulan terakhir dan sesaat mencapai $3,814, harga tertinggi sejak Desember 2024.
Karena banyak NFT dihargai dalam ETH, momentum bullishnya telah menghidupkan kembali minat pembeli dan mendorong harga dasar di seluruh koleksi teratas. CryptoPunks dan Pudgy Penguins telah muncul sebagai pelopor dalam pemulihan ini. CryptoPunks melihat kenaikan harga dasar sebesar 16% menjadi 47,5 ETH (sekitar $179,000), menghasilkan $14 juta dalam penjualan selama 24 jam. Pudgy Penguins mengikuti dengan dekat, menarik $5,7 juta dalam volume perdagangan harian dan kenaikan 15% dalam harga dasar.
