Расследователи из Rug Pull Finder (RPF) сообщили об эксплойте в собственном смарт-контракте, который позволил двум злоумышленникам бесплатно создать в своем кошельке 450 NFT проекта вместо одного.
По сообщению команды, хакеры создали дополнительную цепь в инструменте для бесплатного минтинга Bad Guys. С его помощью RPF отбирала пользователей для пресейла запланированной на осень коллекции из 10 000 NFT. Владение токенами Bad Guys также открывало доступ к другим предстоящим проектам.
Всего смарт-контракт разрешал выпустить 1221 токен – по одному на каждый кошелек. Однако уязвимость позволила злоумышленникам увеличить разрешенное число NFT.
После обнаружения инцидента RPF договорилась с одним из хакеров о выплате вознаграждения в размере 2,5 ETH (около $3950 на момент написания), чтобы восстановить 330 NFT.
Наблюдательная группа признала, что за 30 минут до запуска Bad Guys неизвестный источник предупредил их об уязвимости, однако проигнорировала его.
Разработкой смарт-контракта занималось блокчейн-агентство Doxxed Media. RPF признала, что ни она, ни какая-либо независимая третья сторона не провела аудит кода.
После консультаций с сообществом команда решила распределить восстановленные NFT. Часть из них вернется в хранилище Bad Guys, другие разыграют в Twitter и среди друзей проекта.
Напомним, в августе аналитики из Elliptic сообщили, что с 2017 года злоумышленники отмыли более $8 млн через NFT-маркетплейсы, что составляет 0,02% от общего торгового оборота.
По их данным, с июля 2021 по июль 2022 года украдены токены на сумму свыше $100 млн.
Наиболее популярным инструментом для отмывания средств, полученных от мошенничества с NFT, был криптовалютный миксер Tornado Cash.
