Atak na kontrakt stakingowy SuperRare – 11,9 mln tokenów RARE wykradzionych

SuperRare, znany rynek NFT, padł ofiarą poważnego ataku na swój kontrakt stakingowy RareStakingV1. W wyniku exploita cyberprzestępcy zdołali przejąć aż 11,9 miliona tokenów RARE, co według szacunków odpowiada około 731 tysiącom dolarów. Warto podkreślić, że sam kontrakt tokena $RARE oraz jego podstawowa funkcjonalność pozostały nietknięte.

Źródło exploita: błędna kontrola uprawnień

Według raportów firm bezpieczeństwa Web3, Blockaid i MistEye, luka znajdowała się w funkcji „updateMerkleRoot” w kontrakcie RareStakingV1. Funkcja ta miała służyć do aktualizacji Merkle Root, mechanizmu weryfikującego uczestnictwo w stakingu i wypłatę nagród. Niestety, kod nie zawierał odpowiedniej kontroli dostępu, co umożliwiało dowolnemu adresowi modyfikowanie danych i składanie nieautoryzowanych roszczeń o tokeny.

Exploit przebiegł w dwóch etapach. Najpierw atakujący wdrożył kontrakt z luką, jednak zanim zdążył go wykorzystać, inna osoba zauważyła przygotowywaną transakcję i wyprzedziła go o jeden blok, przejmując środki. Analiza Cyvers wskazuje, że adres pierwotnego atakującego był zasilony środkami z miksera Tornado Cash około 186 dni wcześniej.

• Luka: brak kontroli uprawnień w updateMerkleRoot
• Wykradzione środki: 11,9 mln RARE (~731 000 USD)
• Token $RARE i jego mechanizmy pozostały bezpieczne
• Sprawca to aktywny uczestnik ekosystemu DeFi

SuperRare i Rare Protocol – curation staking w praktyce

RareStakingV1 był częścią programu Rare Protocol, który miał na celu poprawę procesu kuracji i odkrywania twórców w przestrzeni NFT. Poprzez staking tokenów $RARE użytkownicy mogli wspierać artystów, dołączać do Community Pools i otrzymywać nagrody za transakcje sprzedaży. Inicjatywa została uruchomiona w sierpniu 2023 roku jako innowacyjne narzędzie wzmacniające ekosystem SuperRare.

Atak w momencie ożywienia rynku NFT

Co ciekawe, exploita dokonano tuż po gwałtownym odbiciu rynku NFT. W ciągu jednej doby wartość rynku wzrosła o ponad miliard dolarów, a wolumen obrotu poszybował o 287% – do 37,4 mln USD. Kapitalizacja rynkowa NFT podniosła się o 94%, osiągając 6,6 mld USD w lipcu. Do liderów tego wzrostu należały kolekcje takie jak CryptoPunks i Pudgy Penguins.

Wzrost rynku był ściśle powiązany z rajdem kursu ETH, który w lipcu zyskał 55%, osiągając chwilowo cenę 3814 USD – najwyższą od grudnia 2024. Ponieważ wiele NFT jest denominowanych w ETH, jego aprecjacja znacząco wpłynęła na popyt i ceny bazowe topowych kolekcji.

Obecnie SuperRare nie przedstawił jeszcze oficjalnego raportu ani planu działań naprawczych. Biorąc pod uwagę skalę ataku oraz moment jego przeprowadzenia, z pewnością będzie to jedno z ważniejszych wydarzeń na rynku NFT w 2025 roku.