Quixotic – ein NFT-Marktplatz, der auf Optimismus läuft – enthüllte, dass Übeltäter seine Sicherheit verletzt und ERC-20-Token entleert haben. Die Organisation versicherte, dass Benutzer mit gestohlenen Vermögenswerten erstattet werden.
Der letzte Angriff
In einem kürzlich veröffentlichten Tweet gab Quixotic bekannt, dass Kriminelle seine „Offer“-Funktion angegriffen und ERC-20-Token gestohlen haben. Das Team riet seinen Kunden, ihre Angebote „sofort“ zu stornieren, und fügte hinzu, dass alle Marktplatz-Operationen eingestellt werden.
Auf der anderen Seite garantierte Quixotic, dass die von dem Angriff betroffenen Kunden ihre Verluste in den kommenden Tagen vollständig erstattet bekommen. Nicht fungible Token, die auf dem Marktplatz gelistet sind, werden durch den Cyber-Angriff nicht beschädigt.
Wir können bestätigen, dass eine kürzlich erfolgte Aktualisierung unseres Marktplatzvertrags ausgenutzt wurde, wodurch ein Hacker genehmigte ERC-20-Token stehlen konnte
- Wir erstatten alle gestohlenen ERC-20-Token
2. NFTs bleiben sicher und sind von dem Exploit nicht betroffen
3. Alle Marktplatzaktivitäten bleiben pausiert https://t.co/wBYt903QVO
– Quixotic 🔴✨ – Optimism NFT Marketplace (@quixotic_io) 1. Juli 2022
Laut DappRadar ist Quixotic der größte NFT-Marktplatz für Optimismus. Es hat im vergangenen Monat über 9.000 Benutzer angezogen, die mehr als 22.000 Transaktionen abgeschlossen haben. Das registrierte Handelsvolumen für diesen Zeitraum betrug etwa 405.000 $.
Die Saga mit Harmonie
Letzte Woche machte ein weiterer Angriff im Kryptowährungsraum Schlagzeilen – der des Harmony-Protokolls. Die Horizon Bridge des letzteren wurde von Hackern durchbrochen, die fast 100 Millionen Dollar wert waren Ethereum.
Kurz nachdem das Problem identifiziert wurde, bot Harmony dem Angreifer eine Prämie von 1 Million US-Dollar als Gegenleistung für die gestohlenen Gelder und den Austausch von Exploit-Informationen. Der anonyme Hacker lehnte das Angebot ab, da er auch damit begann, die Vermögenswerte über Tornado Cash zu waschen.
Eine anschließend von Elliptic Enterprises durchgeführte Recherche behauptete, dass die Organisation hinter dem Überfall das nordkoreanische Hacking-Kollektiv war – die Lazarus Group:
„Es gibt starke Hinweise darauf, dass die nordkoreanische Lazarus-Gruppe für diesen Diebstahl verantwortlich sein könnte, basierend auf der Art des Hacks und der anschließenden Wäsche der gestohlenen Gelder.“
Laut der Analyse von Elliptic zielten die Kriminellen auf Benutzernamen und Passwörter von Mitarbeitern von Harmony im asiatisch-pazifischen Raum ab, um das Sicherheitssystem des Protokolls zu durchbrechen. Später nutzten sie automatisierte Waschdienste, um die gestohlenen Gelder während der Nachtstunden zu bewegen.
Das Unternehmen behauptete weiter, dass die Lazarus-Gruppe bereits über 40 % der 100 Millionen US-Dollar an einen Tornado-Cash-Mixer überwiesen habe.