Alle Bored Ape Yacht Club (BAYC) en Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFT’s) die gestolen waren van het peer-to-peer handelsplatform NFT Trader, zijn teruggegeven na een losgeldbetaling.
NFT’s ter waarde van bijna $3 miljoen werden gestolen bij de hack op 16 december. Volgens openbare berichten schreef de aanvaller de oorspronkelijke exploit toe aan een andere gebruiker. “Ik kwam hier om resterend afval op te halen,” schreven ze, en vroegen losgeld om de NFT’s terug te geven.
“Als je deze NFT’s terug wilt, moet je me 120 ETH betalen […] en dan stuur ik je de NFT’s, zo simpel is het, en ik lieg nooit, geloof me […],” luidt een van de berichten.
Een gemeenschapsinitiatief geleid door Boring Security — een non-profit Web3 beveiligingsproject gefinancierd door ApeCoin (APE) — herstelde alle activa in minder dan 24 uur na het betalen van de 120 Ether (ETH) bounty, destijds ongeveer $267.000 waard.
“Alle 36 BAYC en 18 MAYC die de exploiteur had, zijn nu in ons bezit. We hebben haar [de hacker] 10% van de bodemprijs van de collecties als beloning gestuurd,” schreef het Boring Security team op X (voorheen Twitter).
De beloning werd betaald door Greg Solano, medeoprichter van Yuga Labs. Het bedrijf is de maker van beide NFT-collecties en ondersteunde de onderhandelingen om de tokens te herstellen en gratis terug te geven aan hun oorspronkelijke eigenaren.
Volgens “Foobar”, pseudonieme oprichter en ontwikkelaar van Delegate, werd de kwetsbaarheid 11 dagen geleden geïntroduceerd na een upgrade van een smart contract waardoor misbruik van een multicall-functie mogelijk werd, waardoor onbevoegde overdrachten van NFT’s van hun rechtmatige eigenaren mogelijk waren door eerder verleende handelsmachtigingen.
Het incident leidde tot oproepen voor gebruikers om alle machtigingen in te trekken die verleend waren aan twee oude contracten 0xc310e760778ecbca4c65b6c559874757a4c4ece0 en 0x13d8faF4A690f5AE52E2D2C52938d1167057B9af. De NFT’s kunnen opnieuw gestolen worden als de goedkeuringen niet worden ingetrokken, zei Foobar. De ontwikkelaar hielp het team van NFT Trader om de aanval kort nadat deze werd ontdekt te stoppen.