Хакеры воспользовались эксплойтом проекта Rug Pull Finder для создания 450 NFT

Расследователи из Rug Pull Finder (RPF) сообщили об эксплойте в собственном смарт-контракте, который позволил двум злоумышленникам бесплатно создать в своем кошельке 450 NFT проекта вместо одного. https://twitter.com/rugpullfinder/status/1565791659928977408 По сообщению команды, хакеры создали дополнительную цепь в инструменте для бесплатного минтинга Bad Guys. С его помощью RPF отбирала пользователей для пресейла запланированной на осень коллекции из 10 000 NFT. Владение токенами Bad Guys также открывало доступ к другим предстоящим проектам. Всего смарт-контракт разрешал выпустить 1221 токен – по одному на каждый кошелек. Однако уязвимость позволила злоумышленникам увеличить разрешенное число NFT. После обнаружения инцидента RPF договорилась с одним из хакеров о выплате вознаграждения в размере 2,5 ETH (около $3950 на момент написания), чтобы восстановить 330 NFT.  Наблюдательная группа признала, что за 30 минут до запуска Bad Guys неизвестный источник предупредил их об уязвимости, однако проигнорировала его. «После проверки с тремя разными командами разработчиков мы не поверили в достоверность присланной нам информации. Мы явно ошибались, и нам очень жаль», — заявили в RPF. Разработкой смарт-контракта занималось блокчейн-агентство Doxxed Media. RPF признала, что ни она, ни какая-либо независимая третья сторона не провела аудит кода. После консультаций с сообществом команда решила распределить восстановленные NFT. Часть из них вернется в хранилище Bad Guys, другие разыграют в Twitter и среди друзей проекта. Напомним, в августе аналитики из Elliptic сообщили, что с 2017 года злоумышленники отмыли более $8 млн через NFT-маркетплейсы, что составляет 0,02% от общего торгового оборота. По их данным, с июля 2021 по июль 2022 года украдены токены на сумму свыше $100 млн. Наиболее популярным инструментом для отмывания средств, полученных от мошенничества с NFT, был криптовалютный миксер Tornado Cash.