Tất cả các token không thể thay thế (NFT) của Bored Ape Yacht Club (BAYC) và Mutant Ape Yacht Club (MAYC) bị đánh cắp từ nền tảng NFT Trader đã được phục hồi sau khoản thanh toán tiền thưởng trị giá 267.000 USD.
Vào ngày 16 tháng 12, một vi phạm bảo mật trên nền tảng ngang hàng NFT Trader đã dẫn đến việc đánh cắp số NFT trị giá gần 3 triệu USD.
Kẻ tấn công, trong các tin nhắn công khai, tuyên bố đã lợi dụng một lỗ hổng khai thác ban đầu được người dùng khác sử dụng, yêu cầu một khoản tiền chuộc để trả lại NFT bị đánh cắp. Họ nhất quyết yêu cầu thanh toán 120 Ether ( ETH ), tương đương khoảng 267.000 USD vào thời điểm đó, để trả lại NFT.
Phản ứng nhanh chóng, Boring Security, một dự án bảo mật web3 phi lợi nhuận do ApeCoin tài trợ, đã dẫn đầu một sáng kiến cộng đồng nhằm đảm bảo trả lại tất cả tài sản trong vòng chưa đầy 24 giờ sau khi tuân thủ yêu cầu tiền chuộc.
Boring Security, trong một tuyên bố trên X, đã xác nhận sự phục hồi của tất cả 36 BAYC và 18 MAYC NFT. Khoản thanh toán cho hacker lên tới 10% giá sàn của bộ sưu tập, theo thỏa thuận.
Tiền thưởng được trả bởi Greg Solano, người đồng sáng lập Yuga Labs . Công ty là người tạo ra cả bộ sưu tập NFT và các cuộc đàm phán được hỗ trợ để khôi phục mã thông báo và trả lại miễn phí cho chủ sở hữu ban đầu của chúng.
Vi phạm được bắt nguồn từ một lỗ hổng được tạo ra bởi bản nâng cấp hợp đồng thông minh 11 ngày trước đó. Bản nâng cấp này đã cho phép lạm dụng tính năng đa cuộc gọi, dẫn đến chuyển NFT trái phép. Lỗ hổng được xác định bởi “Foobar”, một người sáng lập và phát triển bút danh của Delegate, người cũng đã giúp nhóm của NFT Trader ngăn chặn cuộc tấn công.
Sau vụ việc, đã có nhiều cuộc gọi kêu gọi người dùng thu hồi quyền được cấp cho hai hợp đồng cũ được xác định là có nguy cơ bảo mật tiềm ẩn. Các phê duyệt bị thu hồi là cần thiết để ngăn chặn các hành vi trộm cắp NFT có thể xảy ra trong tương lai.
Boring Security kêu gọi đào tạo thường xuyên chống lại các vụ hack NFT
Boring Security, thừa nhận sự phức tạp của quyền tự quản lý trong tài chính phi tập trung, nhấn mạnh sự cần thiết phải hiểu các cơ chế của web3 . Họ nhấn mạnh những bước tiến mà các nhà phát triển Ethereum đã đạt được trong việc nâng cao giao diện thân thiện với người dùng nhưng nhấn mạnh tầm quan trọng của việc thận trọng trong việc quản lý tài sản kỹ thuật số.
Với hơn 80 quan hệ đối tác trong không gian NFT, Boring Security đã và đang ủng hộ văn hóa bảo mật trong web3. Cách tiếp cận của họ bao gồm các buổi đào tạo miễn phí, do người hướng dẫn hướng dẫn. Họ cũng kêu gọi các nhà lãnh đạo cộng đồng áp dụng nhiều biện pháp khác nhau để tăng cường an ninh.
Các biện pháp này bao gồm tạo danh sách trắng cho các cá nhân được đào tạo về bảo mật, tích hợp các mô-đun bảo mật vào các yêu cầu truy cập của cộng đồng và đào tạo người kiểm duyệt về các giao thức bảo mật.
Ngoài ra, Boring Security còn đề xuất các biện pháp khuyến khích như tổ chức các sự kiện Giao thức Bằng chứng Tham dự (POAP) đặc biệt và tặng tiền thưởng cho việc hoàn thành các lớp học hoặc hoạt động bảo mật nhằm khuyến khích tham gia vào giáo dục bảo mật.
Công ty kêu gọi các nhà lãnh đạo cộng đồng hợp tác trong việc nâng cao và bảo vệ cộng đồng của họ, mời họ chia sẻ hiểu biết sâu sắc và tìm kiếm hướng dẫn.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News
