Op 16 december maakte een beveiligingslek op NFT Trader het mogelijk voor hackers om NFT’s ter waarde van miljoenen dollars te stelen. Volgens NFT Trader richtte de aanval zich op oude smart contracts, iets wat bevestigd werd op X (voorheen Twitter).
$267.000 losgeld betaald
Revoke.cash meldt dat onder de gestolen NFT’s ten minste 13 Mutant Ape Yacht Club en 37 Bored Ape tokens waren, samen met VeeFriends en World of Women NFT’s, met een totale waarde van meer dan $3 miljoen dollar.
De aanvaller beweerde in openbare berichten dat een andere gebruiker verantwoordelijk was voor de oorspronkelijke exploitatie. “Ik kwam hier om restafval op te ruimen,” schreven ze, en eisten losgeld voor het teruggeven van de NFT’s.
Een community initiatief geleid door Boring Security, een non-profit Web3-beveiligingsproject gesteund door ApeCoin, slaagde erin om alle activa in minder dan 24 uur terug te krijgen na het betalen van 120 Ethereum (ETH), op dat moment ongeveer $267.000 waard.
Greg Solano, medeoprichter van Yuga Labs, betaalde het losgeld. Zijn bedrijf is de initiatiefnemer van de NFT-collecties en ondersteunde de onderhandelingen om de tokens terug te krijgen en gratis aan hun rechtmatige eigenaren te overhandigen.
Volgens “Foobar”, een pseudonieme oprichter en ontwikkelaar van Delegate, werd de kwetsbaarheid 11 dagen voor de aanval geïntroduceerd, na een upgrade van een smart contract die misbruik van een multi-call functie toeliet, waardoor ongeautoriseerde overdrachten van NFT’s van hun rechtmatige eigenaren mogelijk waren door eerder verleende handelsmachtigingen.
Als reactie op het incident werden oproepen gedaan om alle rechten ingetrokken te krijgen die verleend waren aan twee oude contracten, 0xc310e760778ecbca4c65b6c559874757a4c4ece0 en 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af. Foobar waarschuwde dat de NFT’s opnieuw gestolen konden worden als de toestemmingen niet ingetrokken werden. Kort nadat de aanval werd ontdekt, hielp de ontwikkelaar het team van NFT Trader om deze te stoppen.