28 июля на блокчейне Ethereum произошел взлом платформы SuperRare, в результате которого было похищено около 11,9 миллиона токенов RARE, что эквивалентно 730 тыс. долларов.
Что такое SuperRare и как произошел взлом?
SuperRare — известная платформа для продажи цифрового искусства, работающая с 2018 года. Пользователи могут голосовать о развитии платформы и получать вознаграждения, используя токены RARE. Взлом произошел не на стороне размещения искусства, а через ошибку в контракте для стейкинга.
Контракт использовал Меркле-корень для проверки прав на получение вознаграждений, но контроль за его обновлением был недостаточно строгим. Это позволило злоумышленнику подделать корень и вывести 11,9 миллиона токенов RARE за одну транзакцию.
Необычный поворот: кто в итоге оказался с деньгами?
Интересным моментом в этом взломе стало то, что внимание к уязвимости в коде привлекло несколько пользователей. Тот, кто первым обнаружил ошибку, не смог воспользоваться ею.
Другой участник сети адаптировал оригинальную атакующую транзакцию и заплатил более высокую комиссию, что стало основным фактором успешности его движения. В результате, когда было выполнено подтверждение, именно его транзакция была обработана первой.
Чему учит инцидент с взломом SuperRare?
Инцидент с SuperRare подчеркивает важность строгой настройки прав доступа в смарт-контрактах. Небольшая ошибка в коде может привести к значительным потерям. Помимо этого, строящие решения на блокчейне должны учитывать скорость реакций бот-игроков, так как даже в момент атаки можно стать жертвой другого участника рынка.
Злоумышленник, который совершил атаку, на самом деле сам подвергся атаке, как только его инициатива была замечена. Это создает дополнительные риски для подобных платформ и демонстрирует необходимость защиты своих систем вознаграждений, наряду с другими элементами безопасности.
Взлом SuperRare стал важным уроком как для самой платформы, так и для сообщества в целом. Он указывает на уязвимости в системе смарт-контрактов и важность осторожности на быстро меняющемся крипторынке.
