Хакер подменил адрес кошелька при создании NFT-аукциона.
Технический директор протокола SushiSwap Джозеф Делонг рассказал в своем микроблоге, что платформа для эмиссии токенов MISO подверглась атаке. C помощью дескриптора GitHub «AristoK3» хакер внедрил вредоносный код во внешний интерфейс Miso и похитил 864,8 ETH на сумму $3 млн.
Делонг считает, что за атакой стоит пользователь Twitter под ником eratos 1122, который называет себя блокчейн-разработчиком. На GitHub он зарегистрирован под ником AristoK3.
В ходе атаки пострадал только один аукцион — JayPegsAutoMart. Он представляет собой дилерский центр по продаже подержанных автомобилей, который продает NFT изображения только одного автомобиля — Kia Sedona 2007 года выпуска.
Аукцион JayPegsAutoMart. Источник: CoinMarketCap.Злоумышленник подменил адрес кошелька при создании аукциона. Средства поступили на кошелек хакера, который по данным Etherscan связан с атакой MISO.
Разработчики SushiSwap заверили пользователей, что они получат приобретенные NFT с Kia Sedona 21 сентября.
Команда SushiSwap связалась с криптобиржами FTX и Binance, попросив предоставить информацию об атаке. BINANCE ответила Делонгу, что ее команда расследует инцидент со своей стороны и свяжется с SushiSwap, как только станут известны подробности.
Делонг утверждает, что злоумышленник ранее работал с yearn.finance, а также с несколькими другим проектами. Поэтому он призывает их проверить соответствующие интерфейсы на наличие уязвимостей.
SushiSwap подаст жалобу в ФБР, если средства не будут возвращены сегодня до 15 (мск).
Напомним, что в августе SushiSwap удалось избежать потери в $350 млн благодаря исследователю из Paradigm.
