通过一系列交易进行的 TreasureDAO 漏洞利用中,数百个 NFT 被盗。 攻击者能够利用协议中的一个漏洞,使他们能够免费铸造 NFT。 不久之后,该平台敦促其用户从市场上删除他们的不可替代代币。
TreasureDAO 被利用
在对 NFT 行业的又一次重大打击中,成为大规模海滩受害者的最新项目是——TreasureDAO——第 2 层协议上最大的 NFT 市场 Arbitrum。
据 data 区块链安全和数据分析公司 Peckshield 刷了 100 多个 NFT。 黑客攻击是由于“在 buyItem() 中区分 ERC721 和 ERC1155 的错误,它错误地将 ERC721 的价格计算为 ERC1155,且(不可信)给定数量为 0。”
然而,损害的全部程度仍不清楚,一些社交媒体 职位 建议其中之一 地址 据报道,用于黑客攻击的 17 个 Smol Brain 被盗走,这些大脑恰好是在 Arbitrum 上交易的流行 NFT。
根据 Treasure 平台上列出的价格,这些 NFT 的总价值约为 426.5k MAGIC(该协议的原生代币)。按照目前的价格计算,其价值为 1.4 万美元。根据以下数据,在该漏洞发生后,MAGIC 于 3.82 月 2.55 日从 3 美元暴跌至 3.3 美元,然后恢复至发稿时的 XNUMX 美元。 CoinGecko.
3/ 由于在 buyItem() 中区分 ERC721 和 ERC1155 时存在错误,因此该黑客攻击成为可能,该错误将 ERC721 的价格错误地计算为 ERC1155,且(不可信)数量为 0。 pic.twitter.com/D09lYbEmRL
- PeckShield Inc.(@peckshield) 2022 年 3 月 3 日
TreasureDAO 的行动方针
在确认攻击时,Treasure DAO 联合创始人 John Patten 啾啾,
“宝藏市场正在被开发。 请移除您的商品。 我们将承担漏洞利用的费用——我将亲自放弃我所有的 Smol 来修复它。”
在为黑客行为道歉后,TreasureDAO 背后的开发人员在 Discord 帖子中透露,该漏洞是先前修复的结果,应该更早发现。
目前,市场已被冻结,没有交易被执行。 该团队还澄清说,列表是安全的,代码将被审查,完成后,市场将重新部署修复程序。
开发人员还证实,黑客在利用数小时后归还了一些被盗的 NFT。 此外,TreasureDAO 还将为未收到 NFT 的平台用户提出报酬选择。 这些选项将提交给社区,并由去中心化自治组织投票表决。