Centinaia di NFT sono stati rubati nell'exploit TreasureDAO, condotto attraverso una serie di transazioni. Gli aggressori sono stati in grado di sfruttare un bug nel protocollo che ha consentito loro di coniare NFT gratuitamente. Subito dopo, la piattaforma ha esortato i suoi utenti a rimuovere i loro token non fungibili dal mercato.
TreasureDAO sfruttato
In un altro duro colpo per l'industria NFT, l'ultimo progetto ad essere caduto vittima di un'enorme spiaggia è – TreasureDAO – il più grande mercato NFT sul protocollo di livello 2, l'Arbitrum.
Secondo i dati della società di sicurezza blockchain e analisi dei dati Peckshield, sono stati cancellati più di 100 NFT. L'hack era dovuto a "un bug nel distinguere ERC721 ed ERC1155 in buyItem(), che calcola erroneamente il prezzo di ERC721 come ERC1155 con la quantità (non attendibile) data 0".
L'intera portata del danno non è ancora chiara, tuttavia, diversi post sui social media suggeriscono che uno degli indirizzi utilizzati per l'hacking avrebbe sottratto 17 Smol Brains, che sembra essere NFT popolari scambiati su Arbitrum.
Secondo i prezzi indicati sulla piattaforma Treasure, il valore totale di questi NFT vale circa 426,5k MAGIC, il token nativo del protocollo. Ai prezzi attuali, il valore arriva a 1,4 milioni di dollari. A seguito dell'exploit, MAGIC è crollato da $ 3,82 a $ 2,55 il 3 marzo prima di risalire al prezzo di stampa di $ 3,3, secondo i dati su CoinGecko .
3/ L'hack è reso possibile a causa di un bug nel distinguere ERC721 e ERC1155 in buyItem(), che calcola erroneamente il prezzo di ERC721 come ERC1155 con la quantità (non attendibile) data 0. pic.twitter.com/D09lYbEmRL
— PeckShield Inc. (@peckshield) 3 marzo 2022
Corso d'azione di TreasureDAO
Mentre confermava l'attacco, il co-fondatore di Treasure DAO John Patten ha twittato :
“Il mercato del tesoro viene sfruttato. Elimina i tuoi articoli. Copriremo i costi dell'exploit: rinuncerò personalmente a tutti i miei Smol per riparare questo.
Dopo essersi scusati per l'hacking, gli sviluppatori dietro TreasureDAO hanno rivelato in un post su Discord che la vulnerabilità era il risultato di una correzione precedente e avrebbe dovuto essere identificata prima.
Attualmente, il mercato è stato bloccato e non vengono eseguiti scambi. Il team ha anche chiarito che le inserzioni sono sicure e il codice verrà rivisto, al termine del quale il mercato ridistribuirà le correzioni.
Gli sviluppatori hanno anche confermato che gli hacker avevano restituito alcuni NFT rubati poche ore dopo l'exploit. Inoltre, TreasureDAO proporrà anche opzioni di remunerazione per gli utenti della piattaforma che non ricevono gli NFT. Queste opzioni saranno presentate alla comunità e votate dall'organizzazione autonoma decentralizzata.