攻撃者がArbitrumのTreasure DAOをハッキングし、マーケットプレイスのエクスプロイトを活用して100NFT以上を取得

セキュリティに特化した企業であるCertikが執筆した事後分析によると、Arbitrumの上に構築されたTreasure DAOという非可溶性トークン市場のプラットフォームが、3月3日午前7時33分(EST)にハッキングされたとのことです。同社のレポートによると、攻撃者はマーケットプレイスの「バイヤーがアイテムを購入する」機能の脆弱性を利用し、「攻撃で100以上のNFTが盗まれた」と記されています。

Certikによる死後分析では、Arbitrum NFT取引プラットフォームTreasure DAOが100以上のNFTを搾取されたことが示されています。
Arbitrum NFTの大手マーケットプレイスTreasure DAOは、木曜日に攻撃者がエクスプロイトを発見し、”疑うことを知らないユーザーから100以上のNFTが失われる “という攻撃を受けました。この攻撃の死後分析は、スマートコントラクト、ブロックチェーン技術、分散型金融(Defi)プロトコルを分析、監視、評価するブロックチェーンセキュリティ企業CertikからBitcoin.com Newsに送られたものである。

“Arbitrum上のNFT取引プラットフォームであるTreasure DAOは、プラットフォームのコードの欠陥を利用した未知の攻撃者によって悪用されました。” Certikの分析の詳細は以下の通りです。「この悪用により、無防備なユーザーから100以上のNFTが失われる結果となりました。初期の分析とTwitterでのハッカーのウォレットの追跡の後、盗まれた多くのNFTが返却されました。”

攻撃者がArbitrumのTreasure DAOをハッキングし、マーケットプレイスのエクスプロイトを活用して100以上のNFTを得る。
“攻撃者は、マーケットプレイスのBuyer.buyItem関数のエラーを利用し、_quantityを0に等しく設定することができました。” Certikのポストモテムによると、”攻撃者は、_quantityを0に等しく設定することができました。「数量が0であれば、totalPrice = _pricePerItem * _quantityとして、totalPriceも0となります。これは、攻撃者が「購入」したNFTに対して何も支払っていないことを意味します。数量>0という要件がないため、この関数は正常に実行されます。このバグは、変数_quantityに0より大きい値を要求することで解決される可能性があります。
さらに、Treasure DAOの状況についてのCertikの分析では、このプロトコルのネイティブトークンのMAGICが米ドルに対して40%以上の損失を出したことを指摘しています。また、Treasure DAOの共同創設者であるJohn Patten氏は、攻撃者が資金を盗んだ後の出来事についてツイートしています。”Treasureマーケットプレイスが悪用されている。出品を中止してください。exploitのコストは我々が負担します-私は個人的にこれを修復するために私のスモールをすべて放棄します” Pattenは言った。Treasure DAOの共同創設者はこう付け加えた。

私はどのような亜人が強盗のために公正な起動市場をターゲットにするのか理解できませんが、彼らはコミュニティを倒すことはありません。

Certikは、継続的なオンチェーン分析と導入前監査により、将来のブロックチェーンプロトコルエクスプロイトを抑制できると述べています。
Certikのセキュリティアナリストは、この悪用の背後に誰がいたかは誰も知らないとしながらも、多くのユーザーが “盗まれたNFTが戻ってきたことを単純に喜んでいる “と付け加えています。同社の死後のまとめでは、1行のコードを悪用するだけで、大きな損失が発生する可能性があることを付け加えて、この状況を締めくくっています。同社は、特定のブロックチェーンプロトコルのオンチェーン監視と導入前監査が、将来の脆弱性を阻止するのに役立つと心から信じています。

「今回のハッキングは、たった1行のコードがもたらす100万ドル規模の影響を再び浮き彫りにしました」と、Certikの報告書は結論付けています。「Web3プロジェクトがセキュリティに対するコミットメントを示し、顧客の資金の安全を保証するためには、徹底したデプロイ前監査と継続的なオンチェーン分析の組み合わせが最適な方法です」。

●セミナー動画
https://youtube.com/channel/UC-IosOkFKsa6tyfj2JjWgrQ

●セミナー日程
http://ripple.2chblog.jp/archives/30659309.html 

●テレグラム始めました!

https://t.me/joinchat/F-7ftRCH5u_8J7k2JUM1rw

●無料でLINE@で有益情報を随時流しています。https://lin.ee/1rhkgzo 

●過去の記事
http://ripple.2chblog.jp/

■トレードするならバイナンス!
https://www.binance.com/

■yobit net
https://yobit.net/en/