Новости Похитивший более 100 NFT с платформы Treasure хакер начал возврат активов

Неизвестный использовал уязвимость NFT-маркетплейса Treasure на базе протокола второго уровня Arbitrum для кражи свыше 100 из выставленных на продажу активов. Через несколько часов хакер начал возврат похищенного.

1/ The @Treasure_DAO was exploited in a series of txs (one hack tx: https://t.co/rUTIGgWEth), leading to 100+ NFTs stolen from several collections of Treasure Marketplace.

— PeckShield Inc. (@peckshield) March 3, 2022​

Баг позволял покупать NFT за ноль токенов MAGIC, используемых на площадке. Соучредитель Treasure DAO Джон Паттен подтвердил взлом и призвал пользователей убрать активы с продажи.

«Маркетплейс Treasure подвергся эксплойту. Пожалуйста, удалите свои товары из листинга. Мы возместим все потери — я лично откажусь от всех своих Smol, чтобы исправить это», — написал он.
​

Общая сумма ущерба неизвестна. Исследователь под ником Jacob H. отследил один из адресов хакера, который за полчаса совершил 16 «покупок» за 0 MAGIC. Затраты на приобретение токенов из коллекций Smol Brains и Legion составили менее $5 на транзакцию в виде платы за газ.

This wallet made 16 "purchases" in 30 minutes for 0 $MAGIC. They bought a lot of Smol Brains and a few Legion. Every purchase cost <$5 in gas and 0 $MAGIC. https://t.co/gwvIfpi9A3 pic.twitter.com/qNbrsvtMEK

— Jacob H. (@lukenamop) March 3, 2022​

Оценочная стоимость этих активов суммарно составляет около 426 511 MAGIC (~$1,44 млн).

На еще один адрес подобным образом поступил 21 NFT.

Эксперт рекомендовал пользователям в целях безопасности активов убрать их из листинга всех NFT-маркетплейсов на Arbitrum.

«Мы считаем, что выявили и устранили причину проблемы. Это был базовый баг, возникший вследствие предыдущего исправления, который мы должны были обнаружить раньше», — заявили разработчики Treasure в Discord.
​

Через несколько часов после взлома с первого, названного Jacob H. кошелька хакера, на адрес Treasure DAO были отправлены все 16 NFT Smol Brain.


Данные: Arbiscan.

Команда маркетплейса подтвердила, что злоумышленник начал возврат активов.

«После того, как у нас будет полный список оставшихся пострадавших, которые не получили обратно украденные NFT, мы предложим ряд вариантов, чтобы гарантировать компенсацию. Эти варианты будут представлены сообществу и проголосованы ДАО», — заявили в Treasure.
​

На фоне новости о взломе цена MAGIC обвалилась с уровней около $3,8 до отметки $2,23 (SushiSwap). На момент написания котировки токена восстановились и он торгуется в боковом тренде вблизи уровня $3,4.


15-минутный график MAGIC/WETH на SushiSwap. Данные: DEXScreener.

Один из пользователей отметил, что уязвимость в Treasure оказалась похожей на выявленную ранее в коде NFT-платформы OpenSea.

Напомним, баг позволял покупать на крупнейшем маркетплейсе сегмента дорогостоящие токены по заниженным ценам.

Команда OpenSea инициировала миграцию на новый смарт-контракт, чтобы исправить ошибку. Однако в ходе этого процесса пользователи понесли новые потери активов в ходе фишинговой атаки.

Новость Похитивший более 100 NFT с платформы Treasure хакер начал возврат активов на сайте CoinProject.info.