Хакеры воспользовались эксплойтом проекта Rug Pull Finder для создания 450 NFT
Расследователи из Rug Pull Finder (RPF) сообщили об эксплойте в собственном смарт-контракте, который позволил двум злоумышленникам бесплатно создать в своем кошельке 450 NFT проекта вместо одного.
As discussed on our Twitter space's earlier today —
We messed up. We messed up big. Our contract had a flaw that allowed 2 people to scoop up over 450 NFTs.
Here is what we are doing to fix it 🧵
— Rug Pull Finder (@rugpullfinder) September 2, 2022
По сообщению команды, хакеры создали дополнительную цепь в инструменте для бесплатного минтинга Bad Guys. С его помощью RPF отбирала пользователей для пресейла запланированной на осень коллекции из 10 000 NFT. Владение токенами Bad Guys также открывало доступ к другим предстоящим проектам.
Всего смарт-контракт разрешал выпустить 1221 токен – по одному на каждый кошелек. Однако уязвимость позволила злоумышленникам увеличить разрешенное число NFT.
После обнаружения инцидента RPF договорилась с одним из хакеров о выплате вознаграждения в размере 2,5 ETH (около $3950 на момент написания), чтобы восстановить 330 NFT.
Наблюдательная группа признала, что за 30 минут до запуска Bad Guys неизвестный источник предупредил их об уязвимости, однако проигнорировала его.
«После проверки с тремя разными командами разработчиков мы не поверили в достоверность присланной нам информации. Мы явно ошибались, и нам очень жаль», — заявили в RPF.
Разработкой смарт-контракта занималось блокчейн-агентство Doxxed Media. RPF признала, что ни она, ни какая-либо независимая третья сторона не провела аудит кода.
После консультаций с сообществом команда решила распределить восстановленные NFT. Часть из них вернется в хранилище Bad Guys, другие разыграют в Twitter и среди друзей проекта.
Напомним, в августе аналитики из Elliptic сообщили, что с 2017 года злоумышленники отмыли более $8 млн через NFT-маркетплейсы, что составляет 0,02% от общего торгового оборота.
По их данным, с июля 2021 по июль 2022 года украдены токены на сумму свыше $100 млн.
Наиболее популярным инструментом для отмывания средств, полученных от мошенничества с NFT, был криптовалютный миксер Tornado Cash.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Источник: Источник