Quixoticの攻撃者は、オファー機能をハッキングしてOptimismとUSDCで10万ドル以上を流出させることができました。
Optimismで最大のNFTマーケットプレイスであるQuixoticは7月1日、最近のコントラクトアップデートが悪用され、ERC-20トークンの喪失につながったと発表しました。
チームは、失われた資金は返還され、プラットフォームに掲載されているNFTは影響を受けないことをユーザーに保証した。しかし、予防措置として、開発者が何が起こったのかをさらに調査するため、すべてのマーケットプレイスの活動は一時停止しています。
私たちのマーケットプレイス契約への最近のアップデートが悪用され、ハッカーが承認されたERC-20トークンを盗むことができたことを確認できます。
1. 盗まれたERC-20トークンはすべて払い戻される予定です。
2. NFTは安全であり、この悪用による影響を受けません。
3. すべてのマーケットプレイスの活動は休止したままです https://t.co/wBYt903QVO– Quixotic ✨ – Optimism NFT Marketplace (@quixotic_io) July 1, 2022
Quixoticユーザーは脆弱な契約が停止されたため行動する必要はなく、返金は「今後数日のうちに」行われます
。
QuixoticのNFTエクスプロイトに関する詳細
。
この悪用は、NFTプロジェクトApetimismのチームによって最初に指摘され、7月1日(BST)早朝にツイートでコミュニティに正式に警告を発しました。このツイートでは、オファー機能が脆弱性の原因であることを指摘し、メンバーは自衛のためにオープンオファーをキャンセルするよう勧めています。
「何らかの攻撃者が “オファー “機能を攻撃しています。そのため、オファーがある場合はすぐにキャンセルすることをお勧めします」
さらに拡大したApetimismは、彼らの分析に基づき、ハッカーはNFTで行われたオファーを自分のウォレットに転送することができたようだと述べています。彼らは、ハッカーが既存のロジックをオーバーランするために、彼らのスマートコントラクトを展開し、オファー機能を悪用したと推測しています
。
How? 攻撃者は、Quixoticのスマートコントラクト上のいくつかのロジックを迂回するコントラクトを、オファー機能上に展開したのです。これにより、彼らはQuixoticのあらゆるオファーで使用されるすべてのトークンを、あらゆる通貨で盗むことができます。
– Apetimism |完売 (@apetimism) July 1, 2022
..
アペティミズムでは、これまでに10万ドルが失われたと報告しています。しかし、そのツイートが流れた後、ハッカーのウォレットを分析したところ、10万ドル以上の大きな流出が複数あることがわかりました。
最も大きな1回の送金アウトは110,756 USDCで、次に大きな取引アウトは170,882 Optimism(OP)で、現在の価格では90,500ドルの価値があります。
さらに追跡調査したところ、ハッカーは盗んだ資金を積極的に小額に分割し、他の複数のアドレスに送信していました。
Quixoticとは
Quixoticは、イーサリアムレイヤー2プラットフォーム「Optimism」上で最大のNFTマーケットプレイスです。
平均取引手数料はわずか0.0005ETH(1.50ドル)を誇り、ほとんどのNFTトレーダーにとって使い勝手の良いプラットフォームとなっています。同社は、設立以来、会員がガス料金で約200万ドルを節約できたと見積もっています。
オンチェーン追跡では、このプラットフォームは過去30日間に419,500ドルの取引量を記録しましたが、ユーザーの活動は6月14日以降大幅に減少しています。
