مهاجمون من استغلال خطأ في البروتوكول مكنهم من إصدار NFTs مجانًا. بعد فترة وجيزة ، حثت المنصة مستخدميها على حذف الرموز المميزة غير القابلة للاستبدال من السوق.
استغلال الكنز DEO
في ضربة كبيرة أخرى لصناعة NFT ، أحدث مشروع وقع ضحية ماسيف بيتش massive beach – TreasureDAO – أكبر سوق NFT على بروتوكول الطبقة 2 ، Arbitrum.
وفقًا للبيانات الصادرة عن شركة Peckshield لأمان blockchain وتحليلات البيانات ، تم تمرير أكثر من 100 NFT. كان الاختراق بسبب “خطأ في التمييز بين ERC721 و ERC1155 في buyItem ، والذي أخطأ في حساب سعر ERC721 على أنه ERC1155 مع (غير موثوق) معطى 0 الكمية.”
لا يزال النطاق الكامل للضرر غير واضح ، ومع ذلك ، تشير العديد من منشورات وسائل التواصل الاجتماعي إلى أن أحد العناوين المستخدمة للقرصنة ورد أنه سرق 17 Smol Brains ، والتي تصادف أن تكون NFTs شائعة المتداولة في Arbitrum .
وفقًا للأسعار المدرجة في منصة Treasure ، تبلغ القيمة الإجمالية لهذه NFTs حوالي 426.5 ألف MAGIC – الرمز الأصلي للبروتوكول. بالأسعار الجارية ، تبلغ القيمة 1.4 مليون دولار. بعد الاستغلال ، انهار MAGIC من 3.82 دولار إلى 2.55 دولار في 3 مارس قبل أن يتعافى إلى سعر وقت النشر عند 3.3 دولار ، وفقًا للبيانات على CoinGecko .
2/ To illustrate, we use the above hack tx and show the key steps below:
1. Call buyItem() with valid NFT token and NFT ID, but w/ invalid ZERO quantity
2. Treasure Marketplace sells the NFT but charges ZERO MAGIC (due to ZERO quantity) pic.twitter.com/OXGAHTtnZ2— PeckShield Inc. (@peckshield) March 3, 2022
مسار عمل TreasureDAO
أثناء تأكيد الهجوم ، غرد المؤسس المشارك لـ Treasure DAO جون باتن ،
“يتم استغلال سوق Treasure. يرجى شطب العناصر الخاصة بك. سنغطي تكاليف الاستغلال – سأتخلى شخصيًا عن جميع Smols لإصلاح هذا الأمر “.
بعد الاعتذار عن الاختراق ، كشف المطورون وراء TreasureDAO في منشور على Discord أن الثغرة كانت نتيجة لإصلاح سابق ، وكان يجب تحديدها مسبقًا.
حاليًا ، تم تجميد السوق ، ولم يتم تنفيذ أي صفقات. وأوضح الفريق أيضًا أن القوائم آمنة وسيتم مراجعة الكود ، وبعد الانتهاء من ذلك ، سيعيد السوق نشر الإصلاحات.
وأكد المطورون أيضًا أن المتسللين أعادوا بعض عناصر NFT المسروقة بعد ساعات من الاستغلال. بالإضافة إلى ذلك ، سوف يقترح TreasureDAO أيضًا خيارات المكافأة لمستخدمي النظام الأساسي الذين لا يتلقون NFTs. سيتم طرح هذه الخيارات على المجتمع والتصويت عليها من قبل المنظمة المستقلة اللامركزية.