C'est encore un autre coup dur pour l'industrie NFT après le récent piratage de TreasureDAO qui a vu plus de 100 NFT volés.
À travers un tweet, la société d'analyse de données et de sécurité blockchain Peckshield a expliqué comment les pirates ont pu exploiter un bogue dans le protocole et créer des NFT gratuits.
2/ To illustrate, we use the above hack tx and show the key steps below:
1. Call buyItem() with valid NFT token and NFT ID, but w/ invalid ZERO quantity
2. Treasure Marketplace sells the NFT but charges ZERO MAGIC (due to ZERO quantity) pic.twitter.com/OXGAHTtnZ2— PeckShield Inc. (@peckshield) March 3, 2022
Suite au piratage, les développeurs de TreasureDAO ont demandé aux utilisateurs de leur plate-forme de supprimer tous leurs NFT du Marketplace pour des raisons de sécurité. Ils ont également expliqué que le piratage avait été effectué, suggérant que la plate-forme avait été rendue vulnérable par un correctif précédent sur la plate-forme. Ils ont noté que cela aurait dû être identifié plus tôt et que les mesures nécessaires auraient dû être mises en place pour prévenir de futures attaques.
Le co-fondateur de Treasure DAO, John Patten, l'a confirmé dans un tweet disant :
«Le marché au trésor est exploité. Veuillez supprimer vos articles. Nous couvrirons les coûts de l'exploit – je renoncerai personnellement à tous mes Smols pour réparer cela.
L'étendue des dégâts causés
Bien que l'étendue des dégâts ne soit pas encore établie, certains messages sur les réseaux sociaux révèlent que l'une des adresses siphonnées 17 Smol Brains, des NFT populaires échangés sur Arbitrum, était utilisée pendant l'attaque.
4/ Here is the hack flow of some stolen NFTs from one hacker. Please delist your smols from @Treasure_DAO marketplace pic.twitter.com/9axjKxhdIr
— PeckShield Inc. (@peckshield) March 3, 2022
Actuellement, le marché TreasureDAO est verrouillé et aucune transaction n'est effectuée jusqu'à nouvel ordre. L'équipe a déclaré que les listes sont désormais sécurisées, mais qu'elles devront revoir les codes et redéployer les correctifs sur le marché.
Il y a également des rapports selon lesquels les pirates ont renvoyé des NFT.
La plate-forme a déclaré que les utilisateurs qui ne recevront pas leurs NFT seront indemnisés, bien que la question de l'indemnisation doive d'abord être soumise à la communauté et votée par l'organisation autonome décentralisée (DAO)
Selon les prix indiqués sur la plateforme Treasure, la valeur des NFT volés est d'environ 426,5K MAGIC (jeton natif du protocole, qui était passé de 3,82 $ à 2,55 $ au moment de la rédaction après l'attaque).