ДАО Treasure - REKT

Йо-хо-хо, кое-кто прибрал к рукам награбленное в Treasure DAO.

NFT стоимостью в ~$1.4M были украдены с крупнейшей NFT-площадки в сети Arbitrum, оставив соперника OpenSea на мели.

ДАО Treasure посоветовали пользователям снять свои NFT с листингов, и погоня за анонимными пиратами началась.

Кража стала возможной из-за логического бага в функции buyItem торговой площадки, которая позволила "купить" существующие листинги за бесплатно.

harry.eth отметил, что:

buyItem не проверяет, чтобы количество было > 0... эксплоитер вызывает buyItem() с нулевым количеством, платит 0, и все равно получает NFT

А также что простое исправление могло бы предотвратить атаку:

require(_quantity > 0, “Cannot buy zero”);

Почти сразу же после того, как баг начали эксплуатировать, магазин приостановил работу и транзакции начали сбоить.

Сооснователь Джон Паттерн сказал:

Мы покроем убытки от эксплоита - я лично отдам все мои Smol, чтобы исправить это.

Примеры украденных листингов NFT можно увидеть в магазине Treasure DAO, например, через недавнюю активность коллекции Smol Brains. Минимальная цена проекта составляла приблизительно 2.5k MAGIC, которые на момент эксплоита стоили примерно $9k.

Вслед за новостями цена MAGIC упала примерно на треть, но с того момента уже стабилизировалась на отметке около 10% ниже по сравнению с ценой до инцидента.

В последовавшие за атакой часы ончейн-сыщики считали, что им удалось связать один из аккаунтов эксплоитера с адресами ENS и Binance.

Также многие NFT возвращаются пользователям. Это наводит на мысль, что угроза доксинга удерживает злоумышленника от хранения украденных активов неликвидными.

ДАО Treasure в конечном итоге опубликовала заявление в Twitter:

Спасибо нашему сообществу за поддержку во время эксплоита торговой площадки. Это был трудный момент, но ваша поддержка во многом говорит об устойчивости сообщества $MAGIC.

Мы работаем не покладая рук над поисками 50 NFT, которые по-прежнему находятся в руках воров, и восполнением потерь покупателей.

Учитывая практически мгновенное ралли цены токена, а также реакцию сообщества похоже, что этот инцидент не потопит проект.

Но, принимая во внимание грязь, которую выкапывают относительно связанных с проектом людей, а также ошибку дилетанта, которая привела к потере, возможно пользователям ДАО Treasure стоило бы поискать богатства в другом месте…

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.