Treasure DAO - REKT

Pop pop pop, on dirait que quelqu'un vient de piller le butin de Treasure DAO.

Environ 1,4 million de dollars de NFTs ont été volés sur le plus marketplace de NFT le plus important d'Arbritrum, laissant le concurrent d'OpenSea en rade.

Treasure DAO a conseillé à ses utilisateurs de délister leurs NFTs, et la chasse au pirate sous pseudonyme a alors débuté.

Les vols ont été rendus possibles à cause d'un logic bug dans la fonction buyItem du Marketplace. Cette fonction permettait d'"acheter" des annonces existantes sans frais.

harry.eth a fait remarquer que :

buyItem ne vérifie pas que la quantité est > 0... l'exploiteur call buyItem() avec une quantité nulle, paie 0, mais reçoit quand même un NFT.

Ainsi que le simple correctif qui aurait empêché l'assaillant :

require(_quantity > 0, "Cannot buy zero") ;

Peu de temps après que le bug ait commencé à être exploité, le marketplace a été mise en pause et les transactions ont commencé à échouer.

Le cofondateur John Pattern a indiqué :

Nous allons prendre en charge les coûts liés à l'exploit - je vais personnellement renoncer à tous mes Smols pour réparer cela.

Des exemples de listings NFTs pris peuvent être observés sur le marché de Treasure DAO via, par exemple, l'activité récente de la collection Smol Brains. Le price floor du projet est d'environ 2,5k MAGIC, valant plus de 9k$ au moment de l'exploit.

Après l'annonce de l'exploit, le prix du MAGIC a chuté d'environ un tiers, avant de se stabiliser et de baisser d'environ 10 % par rapport à la période antérieure à l'incident.

Depuis l'attaque, les enquêteurs on-chain pensent avoir établi un lien entre l'un des comptes de l'exploiteur et des adresses ENS et Binance.

De nombreux NFTs ont par ailleurs été restitués, suggérant que la menace de doxxing est en train de dissuader l'assaillant de garder les actifs volés illiquides.

Treasure DAO a finalement publié une déclaration sur Twitter :

Merci à la communauté pour votre soutien pendant l'exploit du marketplace. Cela a été un moment difficile, mais votre soutien en dit long sur la résilience de la communauté $MAGIC.

Nous sommes mobilisés pour retrouver les 50 NFTs qui ont été volés et les restituer aux acheteurs.

Compte tenu de la remontée presque instantanée du prix du token, et de la réaction de la communauté, il semble que cet incident ne provoquera pas le naufrage du projet.

Mais, si l'on se fie aux dossiers qui ressortent sur les personnes impliquées dans le projet, et à l'erreur d'amateur qui a conduit à cette perte, les utilisateurs du Treasure DAO devraient peut-être chercher la richesse ailleurs...

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.