Злоумышленник нацелился на контракт под названием RareStakingV1, который является частью системы Staking, запущенной SuperRare в августе 2023 года для участия в выборе художников и вознаграждения пользователей токенами RARE .
Обнаружена ошибка в функции updateMerkleRoot внутри контракта, где условие проверки (permission check) было неисправно, что позволило любому адресу переопределить корень (Merkle Root) и использовать его для вывода токенов .
---
🧠 Сюрприз: оригинальный взломщик не получил деньги!
В неожиданном повороте событий, другой злоумышленник совершил атаку front‑running:
Первый злоумышленник написал контракт, использующий уязвимость, но второй злоумышленник быстрее отправил копию той же операции (с более высокими газовыми сборами) и она была подтверждена первой через блокчейн.
Этот разговор между злоумышленниками привел к тому, что деньги пришли на второй адрес, а не на первый написавший контракт .
---
💰 Технические результаты
Элемент Детали
Количество токенов 11.9 миллионов токенов RARE
Сумма в долларах Около 730 тысяч долларов на момент взлома
Что пострадало Контракт токена (контракт RARE token) не пострадал, только контракт стейкинга был взломан
Состояние средств Не были переведены или смешаны токены с помощью Tornado Cash после операции, и взломанный адрес по-прежнему их держит
---
🔎 Что мы можем извлечь из этого взлома?
1. Важность тщательной проверки полномочий смарт-контрактов
Небольшая ошибка в полномочиях обновления достаточно, чтобы открыть большие уязвимости.
2. Риск атак front‑running в блокчейне
Не только проверенные пользователи должны быть под наблюдением, но даже сами злоумышленники могут столкнуться с риском, что их опередят в исполнении.
3. Прозрачность и отсутствие конфиденциальности в блокчейне
Контракты и действия публичны, и финансирование может отслеживаться через миксеры, такие как Tornado Cash, и в этом инциденте финансирование находилось в сети около 186 дней до атаки .
---
🧩 Текущая ситуация и последствия
SuperRare до сих пор не выпустила официальное подробное заявление о корректирующих действиях или возможных компенсациях.
Пострадавшие смарт-контракты ограничены, рынок NFT не был взломан, и произведения искусства не были украдены.
Рыночные цены на токены RARE могут подвергаться колебаниям или давлению на продажу, но оригинальный контракт токена не пострадал .
---
✅ Выводы
28 июля 2025 года было украдено 730 тысяч долларов в токенах RARE через уязвимость в контракте стейкинга Smart Contract.
Атака оказалась конфликтом между оригинальным взломщиком и другим, который украл через технику front-running.
Основной токен не пострадал, но доверие к системе Staking пострадало.
Главный урок: тщательная проверка полномочий пользователей в смарт-контрактах является основополагающей, и риск front-running существует даже среди самих злоумышленников.
#BiananceSquare #Write2Earn
$ETH
ETHUSDT
Постоянно
3,815.81
-2.
BNB
831.74
-2.21%
$WCT
