Die NFT-Plattform SuperRare ist das jüngste Opfer eines Angriffs auf ihre Smart Contracts. Ein Fehler in einer der Funktionen ermöglichte es Angreifern, vollständigen Zugriff auf die Merkle Root zu erhalten, wodurch sie Tokens beanspruchen konnten, die ihnen nicht gehörten. Insgesamt wurden RARE-Token im Wert von rund 731.000 US-Dollar gestohlen.
Krypto ist erhältlich bei Bitvavo und Bybit.
Fehler im Berechtigungssystem führt zum Angriff
Die Schwachstelle befand sich in der Funktion „update MerkleRoot“. Diese prüfte nicht, ob die Person, die die Änderung vornahm, dazu berechtigt war. Dadurch konnte theoretisch jede Person die Root manipulieren und unrechtmäßig RARE-Token beanspruchen. Der Angriff wurde von der Sicherheitsfirma SlowMist entdeckt, die den Exploit mit ihrem MistEye-Tool verfolgte.
Laut Cyvers Alerts wurde die betreffende Wallet-Adresse bereits vor 186 Tagen über Tornado Cash finanziert – einem bekannten Mixer, der häufig mit anonymen oder verdächtigen Transaktionen in Verbindung gebracht wird. Die gestohlenen Token befinden sich derzeit noch immer auf der Adresse des Angreifers und wurden bislang weder getauscht noch transferiert.
Smart Contracts im Fokus
Der Exploit unterstreicht die Bedeutung von Sicherheit und zeigt erneut, wie entscheidend eine strikte Berechtigungsprüfung bei Smart Contracts ist. Besonders bei NFT- und Staking-Plattformen, bei denen häufig automatische Belohnungen zum Einsatz kommen, können kleine Fehler große Auswirkungen haben. SuperRare selbst hat bislang noch keine offizielle Stellungnahme abgegeben.