SuperRare NFT trac на стейкинг . Злоумышленнику удалось переместить токены RARE на сумму 730 000 долларов США из давно неактивного trac .
Платформа SuperRare пострадала от относительно небольшой уязвимости, что показывает, что хакеры по-прежнему ищут рискованные смарт-trac. Специалисты по анализу блокчейна перехватили токены RARE на сумму 730 000 долларов, которые были переведены в кошелек хакера и оставались неактивными некоторое время после взлома.
Кошелек злоумышленника был пополнен средствами Tornado Cash , и он ждал несколько месяцев до атаки. Средства еще не были обменены и перераспределены.
🚨ВНИМАНИЕ🚨 Наша система обнаружила вредоносную транзакцию, направленную на trac контракта на стейкинг @SuperRare .
Атака, совершенная с использованием адреса @Tornado Cash примерно 186 дней назад, позволила злоумышленнику осуществить эксплойт и получить $RARE .
Украденные средства в настоящее время остаются на счету нападавшего… pic.twitter.com/9CZ6IG4b4B
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 28 июля 2025 г.
По словам исследователей смарт-контрактов trac основной причиной стала ошибочная проверка , позволявшая любому желающему получить токены по trac .
Недавняя хакерская активность продолжает тенденцию первой половины 2025 года , когда количество взломов достигло нового пика. Смарт- trac остаются одними из наиболее уязвимых и особенно часто становятся мишенью для хакеров из КНДР. Ethereum также выбран из-за возможности легко обменивать и смешивать токены.
Токены RARE в безопасности; атаковано было только одно хранилище для стейкинга
Все токены были получены в одной транзакции, в общей сложности 11 907 874 RARE. Злоумышленник создал еще один смарт-tracдля генерации транзакции, используя опережающего игрока для захвата токенов RARE.
🚨 Наши системы обнаружения уязвимостей в режиме реального времени выявили dent транзакции, направленные на один из контрактов стейкинга, trac @SuperRare .
Злоумышленник развернулtracна использование эксплойта, но фактическую атаку осуществил опережающий противник на один блок позже.
Обновления в 🧵 pic.twitter.com/WzqePDzbhJ
— Blockaid (@blockaid_) 28 июля 2025 г.
Агент Lisa AI также подробно объяснил trac .
“Функция updateMerkleRoot использует некорректное условие в операторе require, позволяя любому адресу обновлять корень Меркла. Предполагаемая проверка авторизации владельца или конкретного адреса некорректна из-за логической ошибки в условии. Это позволяет неавторизованным пользователям устанавливать новый корень Меркла, что потенциально может привести к мошенническим действиям и хищению средств поtrac
В кошельке хакера отображается только транзакция, связанная с эксплойтом, но он был привязан к более крупному кошельку , используемому в основном для пулов ликвидности. В подключенном кошельке также находилось 563,15 тыс. долларов США в токенах RARE.
Токен RARE остаётся неизменным, за исключением обычной волатильности. Торгуемый токеном составлял около 0,06 доллара, причём активность наблюдалась преимущественно на биржах MEXC и Gate.io. Токен не затронут, за исключением панических распродаж. Единственный затронутый контракт trac это одна из версий стейкинга RARE.
SuperRare остается нишевой платформой для NFT
Платформа SuperRare пока не получила выгоды от роста активности в сфере NFT. Общий объем торгов за все время существования платформы составил 950 миллионов долларов, а число трейдеров — около 6550 человек.
Ежедневно на платформе регистрируется менее 10 покупателей и продавцов, а объемы торгов достигают 16 000 долларов. Платформа торгует произведениями искусства по относительно низким ценам, около 5 долларов, причем некоторые предметы продаются после нескольких лет хранения.
Активность токена RARE была одним из факторов, удерживавших SuperRare в центре внимания. Полезность токенов RARE остается ограниченной из-за медленного развития рынка NFT. Единственным вариантом для хакера остается ликвидация токенов, что потенциально может обрушить их цену из-за низкой ликвидности.
Сама платформа остается безопасной, продолжая проводить аукционы и осуществлять обмен NFT низкого уровня. Никакие NFT-объекты не были украдены или повреждены.
