Hacker devolve NFTs roubados após Yuga Labs pagar resgate de 120 ETH

A empresa de segurança web3 Boring Security confirmou que recuperou 54 NFTs roubados por um hacker. Eles devolveram os ativos após o pagamento de um resgate por um dos co-fundadores da Yuga Labs.

Ao todo, a empresa recuperou 36 NFTs da coleção Boed Ape Yacht Club (BAYC) e outros 18 da série Mutant Ape Yacht Club (MAYC).

Hacker rouba NFTs

Conforme a Boring Security, os NFTs foram roubados do mercado NFT Trader no dia 16 de dezembro. O valor total dos tokens era de cerca de US$ 3 milhões.

O hacker responsável pela ação deixou uma mensagem pública em que atribuía a descoberta do exploit usado para o roubo a outra pessoa. Ele disse:

“Eu vim aqui pegar lixo residual. Se você quiser esses NFTs de volta, você precisa me pagar 120 ETH (…) e então eu vou devolver os NFTs. É simples assim, e eu nunca minto, acredite em mim”.

A Boring Security, em seguida, organizou uma iniciativa para pagar o resgate e recuperar os ativos. Eles foram devolvidos menos de 24h após o pagamento da recompensa, avaliada em US$ 267.000 na época.

A empresa disse, no Twitter (X):

“Todos os 36 BAYC e 18 MAYC roubados estão em nossa posseção. Nós mandamos ao hacker 10% do floor price da coleção como recompensa”.

All 36 BAYC and 18 MAYC that the exploiter had are now in our possession.

We sent her 10% of the floor price of the collections as bounty. We will be working with the affected victims getting them back to them free of charge.

Right after this coffee break…

Victims please…
— Boring Security (@BoringSecDAO) December 17, 2023

Quem pagou a recompensa foi o co-fundador da Yuga Labs, Greg Solano. A empresa é a criadora das duas coleções de NFTs roubadas e participou das negociações para recuperá-los.

Vulnerabilidade no Sistema permitiu roubo

O fundador da Delegate, Foobar, disse que o roubo dos tokens foi possível graças a uma vulnerabilidade introduzida no NFT Trader no início de dezembro. Ela permitia que um contrato inteligente abusasse o recurso de multicall de forma a transferir NFTs sem autorização dos donos.

vuln was bad upgrade 11 days ago that allowed multicalling to external contracts

simple: nftContract.transferFrom(nftHolder, me, tokenId)

and bc nftHolder approved flooring, it would succeed

left image is safe internal multicall
right image is unsafe external multicall pic.twitter.com/gEHHZyLzDc
— foobar (@0xfoobar) December 17, 2023

Ele acrescentou que o problema pode se repetir se os criadores não revogarem as permissões.

Trusted

Isenção de responsabilidade

Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.

Júlia V. Kurtz

READ FULL BIO

Editora-chefe do BeInCrypto Brasil. Jornalista de dados com formação pelo Knight Center for Journalism in the Americas da Universidade do Texas, possui 10 anos de experiência na cobertura de tecnologia pela Globo e, agora, está se aventurando pelo mundo cripto. Tem passagens na Gazeta do Povo e no Portal UOL.

READ FULL BIO