Pag-exploit sa RareStakingV1 Contract ng SuperRare
Ang RareStakingV1 contract ng NFT marketplace na SuperRare ay na-exploit, na nagbigay-daan sa mga umaatake na maubos ang 11.9M RARE tokens. Mahalaga, ang kahinaan ay hindi nakaapekto sa pangunahing $RARE token contract o sa mga pangunahing pag-andar nito. Ang RareStakingV1 contract ay bahagi ng inisyatiba ng staking at curation ng platform na inilunsad noong Agosto 2023. Ang Rare Protocol ay ipinakilala bilang solusyon sa isang patuloy na problema sa espasyo ng NFT: kalidad ng curation at pagtuklas ng mga creator. Sa pamamagitan ng mekanismo ng Curation Staking, ang mga kalahok ay gumagamit ng katutubong $RARE token upang mag-stake sa mga artista, sumali sa kanilang Community Pools, at makatanggap ng mga gantimpala kapag ang mga artist na iyon ay nagbebenta.
Pinagmulan ng Exploit
Ayon sa alerto mula sa Web3 security firm na Blockaid at threat intelligence platform na MistEye, ang exploit ay nagmula sa isang depektibong permission check sa “updateMerkleRoot” function sa loob ng RareStakingV1 contract.
Ang function ay dinisenyo upang limitahan ang mga update sa Merkle Root, na nag-verify ng staking at mga claim ng gantimpala. Gayunpaman, ang code ay nabigong ipatupad ito, na nagpapahintulot sa sinuman na baguhin ang Merkle Root at mag-claim ng tokens. Bilang resulta, anumang address ay maaaring makapasa sa verification at gumawa ng hindi awtorisadong mga claim.
Iniulat ng Blockaid na ang exploit ay naganap sa dalawang hakbang: una, ang umaatake ay nag-deploy ng exploit contract. Bago makapagpatupad ng kanilang exploit, isang ibang address ang nakakita sa nakabinbing transaksyon at nauna ito sa susunod na block, na matagumpay na naubos ang mga pondo. Kinumpirma ng Cyvers ang kaganapang ito ng front-running at sinubaybayan ang pinagmulan ng pondo ng orihinal na umaatake sa Tornado Cash mga 186 na araw na ang nakalipas. Gayunpaman, ang karagdagang pananaliksik ay nagpakita na ang umaatake ay maaaring “isang aktibong DeFi farmer,” dahil ang address ay nakipag-ugnayan sa ilang mga platform, kabilang ang Pendle, Uniswap, Odos, Reservoir, at Morpho.
Kalagayan ng mga Pondo
Mahalagang tandaan, ang mga pondo, na tinatayang nagkakahalaga ng humigit-kumulang $731,000, ay nananatili sa contract ng umaatake at hindi pa nailipat o nalinis sa pamamagitan ng mga exchange o mixing services. Sa ngayon, hindi pa naglalabas ang SuperRare ng post-mortem o detalyadong plano sa remediation.
Unang Exploit at Muling Pagbangon ng NFT Market
Ang exploit na ito ay naganap habang ang sektor ng NFT ay nagsisimulang magpakita ng mga palatandaan ng muling pagbangon. Matapos ang mahabang pagbagsak ng merkado, ang espasyo ng NFT ay nagdagdag ng higit sa $1 bilyon sa halaga sa loob lamang ng 24 na oras, na ang mga trading volume ay tumaas ng 287% sa $37.4 milyon. Ang muling pagbangon na ito ay malapit na nauugnay sa patuloy na pagtaas ng Ethereum, kung saan ang ETH ay tumaas ng 55% sa nakaraang buwan at pansamantalang umabot sa $3,814, ang pinakamataas na presyo nito mula noong Disyembre 2024.
Dahil maraming NFTs ang naka-presyo sa ETH, ang bullish momentum nito ay nagbigay-buhay sa interes ng mga mamimili at nagtaas ng mga floor prices sa mga nangungunang koleksyon. Ang CryptoPunks at Pudgy Penguins ay lumitaw bilang mga nangunguna sa pagbawi na ito. Ang CryptoPunks ay nakakita ng 16% na pagtaas sa floor price sa 47.5 ETH (humigit-kumulang $179,000), na bumuo ng $14 milyon sa mga benta sa loob ng 24 na oras. Ang Pudgy Penguins ay sumunod na malapit, na nakakuha ng $5.7 milyon sa pang-araw-araw na trading volume at isang 15% na pagtaas sa floor price.
