Hợp đồng RareStakingV1 của SuperRare bị khai thác
Hợp đồng RareStakingV1 của thị trường NFT SuperRare đã bị khai thác, cho phép kẻ tấn công rút 11,9 triệu token RARE. Quan trọng là, lỗ hổng này không ảnh hưởng đến hợp đồng token $RARE cơ bản hoặc các chức năng cốt lõi của nó. Hợp đồng RareStakingV1 bị khai thác là một phần trong sáng kiến staking và tuyển chọn của nền tảng, được ra mắt vào tháng 8 năm 2023. Giao thức Rare được giới thiệu như một giải pháp cho một vấn đề dai dẳng trong không gian NFT: tuyển chọn chất lượng và phát hiện người sáng tạo. Thông qua cơ chế Curation Staking, người tham gia sử dụng token gốc $RARE để staking vào các nghệ sĩ, tham gia vào các Community Pools của họ và nhận phần thưởng khi những nghệ sĩ đó thực hiện giao dịch bán hàng.
Nguyên nhân khai thác hợp đồng Staking
Kiểm tra quyền truy cập sai trong hàm updateMerkleRoot.
Theo cảnh báo từ công ty bảo mật Web3 Blockaid và nền tảng tình báo mối đe dọa MistEye, việc khai thác xuất phát từ một kiểm tra quyền truy cập sai trong hàm updateMerkleRoot trong hợp đồng RareStakingV1. Hàm này được thiết kế để hạn chế việc cập nhật Merkle Root, xác minh staking và yêu cầu phần thưởng. Tuy nhiên, mã đã không thực thi điều này, cho phép bất kỳ ai cũng có thể sửa đổi Merkle Root và yêu cầu token. Kết quả là, bất kỳ địa chỉ nào cũng có thể vượt qua xác minh và thực hiện các yêu cầu trái phép.
Blockaid báo cáo rằng việc khai thác diễn ra qua hai bước: đầu tiên, kẻ tấn công triển khai một hợp đồng khai thác. Trước khi kẻ tấn công có thể thực hiện việc khai thác của mình, một địa chỉ khác đã quan sát giao dịch đang chờ xử lý và thực hiện trước trong khối tiếp theo, thành công rút tiền. Cyvers đã xác nhận sự kiện thực hiện trước này và truy vết nguồn tài trợ của kẻ tấn công ban đầu đến Tornado Cash khoảng 186 ngày trước. Tuy nhiên, nghiên cứu thêm cho thấy kẻ tấn công có thể là “một nông dân DeFi tích cực,” vì địa chỉ này đã tương tác với nhiều nền tảng, bao gồm Pendle, Uniswap, Odos, Reservoir và Morpho. Đáng chú ý, số tiền trị giá khoảng 731.000 USD vẫn nằm trong hợp đồng của kẻ tấn công và chưa được chuyển đi hoặc rửa tiền qua các sàn giao dịch hoặc dịch vụ trộn.
Đến nay, SuperRare vẫn chưa công bố báo cáo sau sự cố hoặc kế hoạch khắc phục chi tiết.
Khung cảnh NFT và sự phục hồi
Việc khai thác đầu tiên sau khi thị trường NFT phục hồi với 1 tỷ USD.
Việc khai thác này diễn ra khi lĩnh vực NFT bắt đầu có dấu hiệu phục hồi. Sau một thời gian dài suy thoái, không gian NFT đã tăng thêm hơn 1 tỷ USD giá trị chỉ trong 24 giờ, với khối lượng giao dịch tăng 287% lên 37,4 triệu USD. Sự phục hồi này gắn liền với đợt tăng giá liên tục của Ethereum, với ETH tăng 55% trong tháng qua và tạm thời đạt 3.814 USD, mức giá cao nhất kể từ tháng 12 năm 2024. Bởi vì nhiều NFT được định giá bằng ETH, động lực tăng giá của nó đã làm hồi sinh sự quan tâm của người mua và đẩy giá sàn lên cao hơn trong các bộ sưu tập hàng đầu. CryptoPunks và Pudgy Penguins đã nổi lên như những người dẫn đầu trong sự phục hồi này. CryptoPunks đã chứng kiến mức tăng 16% giá sàn lên 47,5 ETH (khoảng 179.000 USD), tạo ra 14 triệu USD doanh thu trong 24 giờ. Pudgy Penguins theo sát, thu về 5,7 triệu USD khối lượng giao dịch hàng ngày và tăng 15% giá sàn.
