Le hacker de NFT trader rend les NFTs de Yuga Labs en échange d’une rançon de 120 ETH

Les NFT Bored Ape Yacht Club et Mutant Ape Yacht Club volés sur NFT Trader sont retournés à leurs propriétaires suite à un paiement d’une rançon de 120 Ether par le cofondateur de Yuga Labs.
SEC Yuga Labs
Getting your Trinity Audio player ready...
  1. Le hacker de NFT Trader a rendu 36 BAYC et 18 MAYC en échange d’une rançon de 120 ETH payée par les fondateurs de Yuga Labs.
  2. Boring Security, un projet de sécurité Web3 financé par ApeCoin, a joué un rôle clé dans la récupération des NFTs.
  3. La vulnérabilité a été exploitée suite à une mise à jour de smart contract , incitant à la révocation des autorisations sur des contrats obsolètes.

Retour des NFT volés après le paiement d’une rançon

Les NFTs de Bored Ape Yacht Club (BAYC) et Mutant Ape Yacht Club (MAYC) dérobés sur la marketplace NFT Trader ont été restitués suite au paiement d’une rançon. L’attaquant a retourné les NFTs, évalués à près de 3 millions de dollars, après avoir reçu une rançon de 120 Ether (ETH), versée par les fondateurs de Yuga Labs.

L’initiative de récupération a été menée par Boring Security, un projet de sécurité Web3 non lucratif financé par ApeCoin. En moins de 24 heures, la rançon de 120 ETH, d’une valeur d’environ $267,000 au moment du paiement, a permis de récupérer tous les actifs. Boring Security a confirmé la restitution des 36 BAYC et 18 MAYC sur X (anciennement Twitter).

Vulnérabilité du smart contract de NFT Trader

Selon « Foobar« , développeur et fondateur pseudonyme de Delegate, la vulnérabilité a été introduite il y a 11 jours lors d’une mise à jour du contrat intelligent. Cette mise à jour a permis l’exploitation abusive d’une fonctionnalité multicall, entraînant des transferts non autorisés de NFTs. Foobar a conseillé de révoquer toutes les autorisations accordées à deux anciens contrats pour éviter de nouvelles exploitations. Cette mesure de précaution est essentielle pour la sécurité des détenteurs de NFTs.

Si vous avez des doutes, vous pouvez utiliser l’outil Revoke Cash pour révoquer les autorisations faites par votre adresse.

Articles qui pourraient vous intéresser