Hunderte von NFTs wurden im TreasureDAO-Exploit gestohlen, das durch eine Reihe von Transaktionen durchgeführt wurde. Die Angreifer konnten einen Fehler im Protokoll ausnutzen, der es ihnen ermöglichte, NFTs kostenlos zu prägen. Kurz darauf forderte die Plattform ihre Benutzer auf, ihre nicht fungiblen Token vom Markt zu nehmen.
TreasureDAO ausgenutzt
In einem weiteren schweren Schlag für die NFT-Industrie ist das jüngste Projekt, das einem massiven Strand zum Opfer gefallen ist – TreasureDAO – der größte NFT-Marktplatz auf dem Layer-2-Protokoll, das Arbitrum.
Nach Angaben des Blockchain-Sicherheits- und Datenanalyseunternehmens Peckshield wurden mehr als 100 NFTs geklaut. Der Hack war auf „einen Fehler bei der Unterscheidung von ERC721 und ERC1155 in buyItem() zurückzuführen, der den Preis von ERC721 als ERC1155 mit der (nicht vertrauenswürdigen) angegebenen 0-Menge falsch berechnet“.
Das volle Ausmaß des Schadens ist noch unklar, aber mehrere Social-Media-Posts deuten darauf hin, dass eine der Adressen, die für das Hacken verwendet wurden, Berichten zufolge 17 Smol Brains entwendet hat, bei denen es sich zufällig um beliebte NFTs handelt, die auf Arbitrum gehandelt werden.
Gemäß den auf der Treasure-Plattform aufgeführten Preisen beträgt der Gesamtwert dieser NFTs rund 426,5.000 MAGIC – das native Token des Protokolls. Zu aktuellen Preisen beläuft sich der Wert auf 1,4 Millionen US-Dollar. Nach dem Exploit stürzte MAGIC am 3. März von 3,82 $ auf 2,55 $ ab, bevor es sich laut Daten von CoinGecko wieder auf den Preis von 3,3 $ zum Zeitpunkt der Drucklegung erholte.
3/ Der Hack wird durch einen Fehler bei der Unterscheidung von ERC721 und ERC1155 in buyItem() ermöglicht, der den Preis von ERC721 als ERC1155 mit der (nicht vertrauenswürdigen) angegebenen Menge 0 falsch berechnet. pic.twitter.com/D09lYbEmRL
– PeckShield Inc. (@peckshield) 3. März 2022
Die Vorgehensweise von TreasureDAO
John Patten, Mitbegründer von Treasure DAO, bestätigte den Angriff und twitterte:
„Der Schatzmarkt wird ausgenutzt. Bitte löschen Sie Ihre Artikel. Wir werden die Kosten des Exploits übernehmen – ich werde persönlich alle meine Smols aufgeben, um das zu reparieren.“
Nachdem sie sich für den Hack entschuldigt hatten, enthüllten die Entwickler hinter TreasureDAO in einem Discord-Beitrag, dass die Schwachstelle das Ergebnis eines früheren Fixes war und früher hätte identifiziert werden müssen.
Derzeit ist der Marktplatz eingefroren und es werden keine Trades ausgeführt. Das Team stellte auch klar, dass die Einträge sicher sind und der Code überprüft wird, nach dessen Abschluss der Marktplatz die Korrekturen erneut bereitstellen wird.
Die Entwickler bestätigten auch, dass die Hacker Stunden nach dem Exploit einige gestohlene NFTs zurückgegeben hatten. Darüber hinaus wird TreasureDAO auch Vergütungsoptionen für Plattformbenutzer vorschlagen, die die NFTs nicht erhalten. Diese Optionen werden der Community vorgelegt und von der dezentralisierten autonomen Organisation abgestimmt.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
