В субботу, 16 декабря, злоумышленник взломал платформу NFT Trader и присвоил коллекционные токены на сумму около $3 млн. Хакер оставил сообщение, выразив готовность вернуть похищенные активы в обмен на 120 ETH (около $267 000).
Позднее, благодаря Boring Security, некоммерческому проекту, финансируемому ApeCoin, похититель получил запрашиваемую сумму и в течение суток вернул все токены из коллекций BAYC и MAYC. «Награду» хакеру заплатил Грег Солано (Greg Solano), сооснователь компании Yuga Labs, создавшей коллекции «скучающих обезьян». Солано содействовал переговорам по возврату украденных токенов и их передаче законным владельцам.
«Все 36 BAYC и 18 MAYC, которые находились у злоумышленника, уже в нашем распоряжении. Мы отправили хакеру 10% от минимальной стоимости коллекций в качестве вознаграждения», — написала команда Boring Security в соцсети X.
Разработчик под псевдонимом Foobar выяснил, что уязвимость была обнаружена через 11 дней после того, как обновление смарт-контракта привело к злоупотреблению функцией множественных запросов, позволяющей несанкционированно передавать NFT от имени их законных владельцев из-за ранее предоставленных торговых разрешений.
Foobar призвал пользователей отозвать все разрешения, предоставленные двум старым контрактам 0xc310e760778ecbca4c65b6c559874757a4c4ece0 и 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af во избежание повторной кражи NFT.
Напомним, что в начале декабря парижский суд признал хакеров, взломавших сервис децентрализованных финансов Platypus и укравших $8,5 млн, «этичными», поскольку они согласились вернуть украденное за вознаграждение.