Angreifer hackt Arbitrums Treasure DAO für über 100 NFTs, indem er Marketplace Exploit nutzt

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

Eine nicht fungible Token-Marktplattform namens Treasure DAO, die auf Arbitrum aufgebaut wurde, wurde am 3. März um 7:33 Uhr (EST) gehackt, so eine Post-Mortem-Analyse, die von der sicherheitsorientierten Firma Certik verfasst wurde. Der Bericht des Unternehmens stellt fest, dass „bei dem Angriff über 100 NFTs gestohlen wurden“, da der Angreifer eine Schwachstelle in der Funktion „Artikel kaufen“ des Marktplatzes ausgenutzt hat.

Post-Mortem-Analyse von Certik zeigt, dass die Arbitrum NFT-Handelsplattform Treasure DAO für mehr als 100 NFTs genutzt wird

Der führende Arbitrum-NFT-Marktplatz Treasure DAO wurde am Donnerstag angegriffen, nachdem ein Angreifer einen Exploit entdeckte, der zum Verlust von „mehr als 100 NFTs von ahnungslosen Benutzern“ führte. Die Post-Mortem-Analyse des Angriffs wurde von der Blockchain-Sicherheitsfirma Certik, einem Unternehmen, das intelligente Verträge, Blockchain-Technologie und dezentrale Finanzprotokolle (Defi) analysiert, überwacht und bewertet, an Bitcoin.com News gesendet.

„Treasure DAO, eine NFT-Handelsplattform auf Arbitrum, wurde von einem unbekannten Angreifer ausgenutzt, der einen Fehler im Code der Plattform ausnutzte“, führt Certiks Analysedetails aus. „Der Exploit führte zum Verlust von mehr als 100 NFTs von ahnungslosen Benutzern. Nach einer anfänglichen Analyse und Verfolgung der Wallet des Hackers auf Twitter wurden viele gestohlene NFTs zurückgegeben.“

Angreifer hackt Arbitrum's Treasure DAO für über 100 NFTs, indem er Marketplace Exploit nutzt — „Der Angreifer nutzte einen Fehler in der Buyer.buyItem-Funktion des Marktplatzes aus, der es ihm ermöglichte, die _quantity auf 0 zu setzen“, heißt es in der Obduktion von Certik. „Bei einer Menge von 0 ist totalPrice auch 0, da totalPrice = _pricePerItem * _quantity. Das bedeutet, dass der Angreifer nichts für die von ihm „gekauften“ NFTs bezahlt hat. Da keine Anforderung besteht, dass _quantity > 0 ist, wird die Funktion normal ausgeführt. Dieser Fehler könnte behoben werden, indem für die Variable _quantity ein Wert größer als 0 gefordert wird.“

Darüber hinaus stellt Certiks Analyse der Treasure DAO-Situation fest, dass der native Token MAGIC des Protokolls über 40 % an Verlusten gegenüber dem US-Dollar verlor. Treasure DAO-Mitbegründer John Patten ebenfalls twitterte über das Ereignis, nachdem der Angreifer das Geld gestohlen hatte. „Der Schatzmarkt wird ausgenutzt. Bitte löschen Sie Ihre Artikel. Wir werden die Kosten des Exploits übernehmen – ich werde persönlich alle meine Smols aufgeben, um das zu reparieren“, sagte Patten. Der Mitbegründer von Treasure DAO fügte hinzu:

Ich kann mir nicht vorstellen, welcher Untermensch es auf einen fairen Startmarkt für Raubüberfälle abgesehen hat, aber sie werden die Gemeinschaft nicht besiegen.

Certik sagt, dass laufende On-Chain-Analysen und Pre-Deployment-Audits zukünftige Exploits des Blockchain-Protokolls eindämmen können

Die Sicherheitsanalysten von Certik sagen, dass niemand weiß, wer hinter dem Exploit steckt, fügten jedoch hinzu, dass viele Benutzer „einfach froh waren, dass ihre gestohlenen NFTs zurückgegeben wurden“. Die Post-Mortem-Zusammenfassung der Situation des Unternehmens schließt mit dem Zusatz, dass durch die einfache Ausnutzung einer Codezeile erhebliche Verluste entstehen können. Das Unternehmen ist von ganzem Herzen davon überzeugt, dass die On-Chain-Überwachung bestimmter Blockchain-Protokolle und Audits vor der Bereitstellung dazu beitragen können, zukünftige Schwachstellen zu schließen.

„Dieser Hack unterstreicht einmal mehr die millionenschweren Auswirkungen, die eine einzige Codezeile haben kann“, schließt der Bericht von Certik. „Ein gründliches Audit vor der Bereitstellung, gepaart mit einer fortlaufenden On-Chain-Analyse, ist der beste Weg für Web3-Projekte, ihr Engagement für Sicherheit zu demonstrieren und ihren Kunden zu versichern, dass ihre Gelder sicher sind.“

Tags in dieser Geschichte

100 NFTs, Arbitrum, Arbitrum Chain, Angreifer, Blockchain-Sicherheit, Bug Treasure DAO, Certik, Certik-Analyse, Certik Post Mortem, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic Token, NFT, NFT-Hack, NFT-Markt, NFT Marktplatz, NFTs, Treasure DAO, Treasure DAO-Bug, Treasure DAO-Exploit, Treasure DAO-Hack, Web3-Projekte

Was denken Sie über den Treasure DAO-Hack und Certiks Post-Mortem-Bericht? Teilen Sie uns Ihre Meinung zu diesem Thema im Kommentarbereich unten mit.

Jamie Redman

Jamie Redman ist News Lead bei Bitcoin.com News und ein in Florida lebender Finanztech-Journalist. Redman ist seit 2011 aktives Mitglied der Kryptowährungs-Community. Er hat eine Leidenschaft für Bitcoin, Open-Source-Code und dezentrale Anwendungen. Seit September 2015 hat Redman mehr als 5,000 Artikel für Bitcoin.com News über die heute aufkommenden disruptiven Protokolle geschrieben.