O atacante quixotesco conseguiu piratear a funcionalidade da oferta para drenar mais de $100.000 em Optimismo e USDC.
Quixotic, o maior mercado NFT no Optimismo, anunciou a 1 de Julho que uma recente actualização do contrato foi explorada, levando à perda das fichas ERC-20.
A equipa assegurou aos utilizadores que os fundos perdidos seriam devolvidos e que os NFT listados na plataforma não seriam afectados. Mas como medida de precaução, toda a actividade do mercado é pausada à medida que se investiga melhor o que aconteceu.
Podemos confirmar que uma recente actualização do nosso contrato de mercado foi explorada, permitindo a um hacker roubar fichas aprovadas ERC-20
1. Iremos reembolsar todas as fichas ERC-20 roubadas
2. As NFT continuam a ser seguras e não são afectadas pela exploração
3. Toda a actividade de mercado permanece em pausa – Quixotic ✨ – Optimism NFT Marketplace (@quixotic_io) Julho 1, 2022
Os utilizadores quixotescas não são obrigados a agir, uma vez que o contrato vulnerável foi suspenso, e os reembolsos serão efectuados “nos próximos dias”.
Mais detalhes sobre a exploração Quixotesca NFT
A exploração foi primeiramente notada pela equipa do projecto NFT Apetimism, que alertou devidamente a comunidade com um tweet na madrugada de 1 de Julho (BST). Apontou a característica da oferta como a fonte da vulnerabilidade, sugerindo aos membros que cancelassem ofertas abertas para se protegerem.
“Algum atacante está a atacar a funcionalidade “Oferta”. Portanto, sugerimos que cancele imediatamente todas as ofertas se tiver uma”
Expandindo mais, a Apetimism disse, com base na sua análise, parece que o hacker foi capaz de transferir ofertas feitas em NFTs para a sua própria carteira. Eles supuseram que o hacker implementou o seu contrato inteligente para ultrapassar a lógica existente para explorar a função da oferta.
Como? Um atacante implantou um contrato para contornar alguma lógica no contrato inteligente da Quixotic sobre a funcionalidade de oferta. Isto permitir-lhes-ia roubar todas as fichas utilizadas em qualquer oferta no Quixotic em qualquer moeda.
– Apetimism | Sold Out (@apetimism) Julho 1, 2022
Apetimismo relatou que $100.000 tinham sido perdidos até agora. Contudo, desde que esse tweet saiu, uma análise da carteira do hacker mostra vários grandes fluxos de saída superiores a 100.000 dólares.
A transferência mais significativa foi de 110.756 USDC, enquanto a transacção seguinte mais considerável foi de 170.882 Optimismo (OP), avaliado em 90.500 USD ao preço actual.
Um outro seguimento mostra o hacker a dividir activamente os fundos roubados em montantes menores e a enviá-los para múltiplos outros endereços.
O que é Quixotic?
Quixotic é o maior mercado NFT na plataforma Ethereum layer-2 Optimism.
Possui uma taxa de transacção média de apenas 0,0005 ETH ($1,50), tornando a plataforma muito mais utilizável para a maioria dos comerciantes NFT. A empresa estima ter poupado aos seus membros cerca de 2 milhões de dólares em taxas de gás desde o seu início.
O rastreio na cadeia mostra que a plataforma movimentou mais de $419.500 em volume nos últimos 30 dias, mas a actividade dos utilizadores diminuiu significativamente desde 14.
de Junho.
