Het is weer een klap voor de NFT-industrie; de recente hack van TreasureDAO waarbij meer dan 100 NFT's werden gestolen.
Via een tweet legde het data-analyse,- en blockchain beveiligingsbedrijf Peckshield uit hoe de hackers een bug in het protocol konden misbruiken en gratis NFT's konden maken.
2/ To illustrate, we use the above hack tx and show the key steps below:
1. Call buyItem() with valid NFT token and NFT ID, but w/ invalid ZERO quantity
2. Treasure Marketplace sells the NFT but charges ZERO MAGIC (due to ZERO quantity) pic.twitter.com/OXGAHTtnZ2— PeckShield Inc. (@peckshield) March 3, 2022
Na de hack hebben TreasureDAO-ontwikkelaars hun platformgebruikers gevraagd om voor de veiligheid al hun NFT's van de Marketplace te verwijderen. Ze legden ook uit dat de hack plaatsvond, wat suggereerde dat het platform kwetsbaar was door een eerdere aanpassing. De ontwikkelaars merkten op dat dit eerder had moeten worden geïdentificeerd en dat de nodige maatregelen hadden moeten worden genomen om toekomstige aanvallen te voorkomen.
Medeoprichter van Treasure DAO, John Patten, bevestigde dit in een tweet:
“Treasure-Marketplace wordt uitgebuit. Verwijder alstublieft uw NFT's. We zullen de kosten van de oplichting dekken – ik zal persoonlijk al mijn Smols opgeven om dit te repareren."
De omvang van de veroorzaakte schade
Hoewel de omvang van de schade nog niet is vastgesteld, blijkt uit sommige berichten op sociale media dat een van de adressen met 17 Smol Brains, populaire NFT's die op Arbitrum worden verhandeld, tijdens de aanval werd gebruikt.
4/ Here is the hack flow of some stolen NFTs from one hacker. Please delist your smols from @Treasure_DAO marketplace pic.twitter.com/9axjKxhdIr
— PeckShield Inc. (@peckshield) March 3, 2022
Momenteel is de TreasureDAO Marketplace afgesloten en worden er tot nader order geen transacties uitgevoerd. Het team zei dat de vermeldingen nu veilig zijn, maar ze zullen de codes moeten herzien en de fixes opnieuw op de markt moeten implementeren.
Er zijn ook berichten dat de hackers enkele NFT's hebben geretourneerd.
Het platform heeft gezegd dat de gebruikers die hun NFT's niet terug zullen ontvangen, zullen worden gecompenseerd, hoewel de kwestie van compensatie eerst moet worden voorgelegd aan de gemeenschap en moet worden gestemd door de gedecentraliseerde autonome organisatie (DAO)
Volgens de prijzen die op het Treasure-platform worden vermeld, is de waarde van de gestolen NFT's ongeveer 426.5K MAGIC (het oorspronkelijke token van het protocol, dat op het moment van schrijven na de aanval was gecrasht van $3,82 NAAR $2,55).