ピアツーピアの取引プラットフォームであるNFTトレーダーから盗まれたボアード・エイプ・ヨット・クラブ(Bored Ape Yacht Club:BAYC)とミュータント・エイプ・ヨット・クラブ(Mutant Ape Yacht Club:MAYC)のノンファンジブルトークン(NFT)が、賞金支払いにより返還された。
12月16日のハッキングで、約300万ドル相当のNFTが盗まれた。ハッカーは公開メッセージで、別のユーザーによる攻撃が元になっていると明らかにした。彼らは、「残りのゴミ拾いに来た」と書き、NFTを返却する見返りに身代金を要求した。
「これらのNFTを取り戻したいなら、120ETHを支払わなければならない。そうすれば、NFTを送るよ。それだけだ。嘘は絶対につかないから、信じてくれ」と、メッセージに書かれていた。
ApeCoinによって資金提供されている非営利のWeb3セキュリティプロジェクトであるBoring Securityが主導するコミュニティイニシアチブは、120ETHの身代金(執筆時点で約267,000ドル)を支払ったことで、24時間以内にすべてのアセットを回収した。
Boring Securityチームは、X(旧Twitter)で、「攻撃者が持っていた36 BAYCと18 MAYCはすべて我々の所有物になった。彼女(ハッカー)にコレクションのフロア価格の10%を賞金として送った」と発表した。
Congratulations to the @BoringSecDAO in getting back those Apes.
— realniceguy.eth ❄️ (@realniceguy_SRH) December 17, 2023
Well done. ✅ @BoredApeYC pic.twitter.com/brVGQ58Sg2
この賞金は、ユガラボの共同創設者であるグレッグ・ソラノ氏が支払った。同社は両方のNFTコレクションの作成者であり、トークンの回収と元の所有者への無償返却を支援する交渉をサポートした。
Delegateの匿名の創設者兼開発者である「Foobar」によると、この脆弱性は11日前にスマートコントラクトのアップグレードによってマルチコール機能の悪用が可能になり、以前に付与された取引権限によって正当な所有者からNFTを不正に移転できるようになったことが原因という。
この事件を受けて、ユーザーは、0xc310e760778ecbca4c65b657a4c4ece0と0x13d8faF4A690f5AE5AE2D2C557a4c4ece0の2つの古いコントラクトに付与されたすべての権限を取り消すよう呼びかけられている。Foobar氏によると、承認を取り消さなければ、NFTが再び盗まれる可能性があるという。同氏は、攻撃が発見された直後にNFTトレーダーのチームを支援して攻撃を阻止した。