Atakujący Quixotic był w stanie zhakować funkcję oferowania, aby wydrenować ponad 100 000$ w Optimism i USDC.
Quixotic, największy rynek NFT na Optimism, ogłosił 1 lipca, że ostatnia aktualizacja kontraktu została wykorzystana, co doprowadziło do utraty tokenów ERC-20.
Zespół zapewnił użytkowników, że utracone środki zostaną zwrócone, a NFT notowane na platformie pozostały nienaruszone. Jednak jako środek ostrożności, cała aktywność na rynku jest wstrzymana, ponieważ devs dalej badają co się stało.
Możemy potwierdzić, że ostatnia aktualizacja umowy na naszym rynku została wykorzystana, pozwalając hakerowi na kradzież zatwierdzonych tokenów ERC-20
1. Zwracamy wszystkie skradzione tokeny ERC-20.
2. NFT pozostają bezpieczne i nie są dotknięte przez exploit.
3. Cała aktywność na rynku pozostaje wstrzymana https://t.co/wBYt903QVO– Quixotic ✨ – Optimism NFT Marketplace (@quixotic_io) July 1, 2022
Użytkownicy Quixotic nie są zobowiązani do działania, ponieważ podatny na ataki kontrakt został wstrzymany, a zwroty pieniędzy wyjdą „w najbliższych dniach „
Więcej szczegółów na temat exploita Quixotic NFT
Eksploatacja została po raz pierwszy zauważona przez zespół projektu NFT Apetimism, który odpowiednio zaalarmował społeczność tweetem we wczesnych godzinach 1 lipca (BST). Wskazał on na funkcję oferty jako źródło luki, sugerując członkom anulowanie otwartych ofert, aby się zabezpieczyć.
„Jakiś napastnik atakuje funkcję „Oferta”. Dlatego sugerujemy, abyś natychmiast anulował wszystkie oferty, jeśli je masz. „
Rozszerzając dalej, Apetimism powiedział, opierając się na ich analizie, wydaje się, że haker był w stanie przenieść oferty wykonane na NFT do własnego portfela. Domyślili się, że haker wdrożył swój inteligentny kontrakt, aby przekroczyć istniejącą logikę, aby wykorzystać funkcję oferty.
Jak? Atakujący wdrożył kontrakt, aby obejść pewną logikę na inteligentnym kontrakcie Quixotic nad funkcją oferowania. Pozwoliłoby to na kradzież wszystkich tokenów użytych w dowolnej ofercie na Quixotic w dowolnej walucie.
– Apetimism | Sold Out (@apetimism) July 1, 2022
Apetymizm poinformował, że do tej pory przepadło 100 tysięcy dolarów. Jednak od czasu wyjścia tego tweeta, analiza portfela hakera wykazuje kilka dużych wypływów większych niż 100 000 dolarów.
Najbardziej znaczący pojedynczy transfer na zewnątrz dotyczył 110 756 USDC, natomiast kolejna najbardziej znacząca transakcja na zewnątrz dotyczyła 170 882 Optimism (OP), wycenianych po obecnym kursie na 90 500 USD.
Dalsze śledzenie pokazuje, że haker aktywnie rozbija skradzione środki na mniejsze sumy i wysyła je na wiele innych adresów.
What is Quixotic?
Quixotic to największy rynek NFT na platformie Ethereum layer-2 Optimism.
Może pochwalić się średnią opłatą transakcyjną wynoszącą zaledwie 0,0005 ETH (1,50 USD), dzięki czemu platforma jest znacznie bardziej użyteczna dla większości traderów NFT. Firma szacuje, że od momentu powstania zaoszczędziła swoim członkom około 2 milionów dolarów w opłatach za gaz.
On-chain tracking pokazuje, że platforma obróciła ponad $419,500 w wolumenie w ciągu ostatnich 30 dni, ale aktywność użytkowników znacznie spadła od 14 czerwca.
