Платформа SuperRare подверглась взлому из-за ошибки в проверке прав доступа
Платформа SuperRare стала жертвой хакерской атаки. В ходе нападения злоумышленник воспользовался уязвимостью в смарт-контракте стейкинга и вывел около 11,9 млн токенов RARE — на сумму примерно $730 тыс. Об этом сообщили эксперты из CertiK и SlowMist, обнаружившие проблему в функции updateMerkleRoot.
Причиной атаки стала ошибка в логике проверки прав доступа. В функции обновления Merkle Root не было корректной логистики того, кто имеет право вносить изменения. Это позволило произвольному адресу отредактировать корневое значение Merkle-дерева и осуществить мошеннические запросы на получение токенов. По сути, любой пользователь мог подделать данные и вывести активы из стейкингового пула.
Эксперты классифицировали уязвимость как критическую. Анализ показал, что в смарт-контракте отсутствовал механизм авторизации, который ограничивает доступ к чувствительным функциям. Вместо этого применялась некорректная конструкция require, допускающая сторонние вмешательства.
Команда SuperRare пока не прокомментировала ситуацию официально. Неизвестно, будет ли запускаться процесс возврата средств или переработки контракта. На момент атаки токены RARE не продемонстрировали резкой просадки в цене, однако участники рынка были насторожены и ожидают официальных комментариев со стороны руководителей проекта.
Этот инцидент подчеркивает важность аудита бизнес-логики, а не только технического кода. Даже мелкие ошибки в условиях доступа могут привести к масштабным последствиям. Участникам DeFi-проектов рекомендуется внимательно отслеживать отчёты аудиторов и избегать контрактов с неопределёнными правами доступа.
Пользователям, взаимодействующим с SuperRare, советуют приостановить любые действия до выхода официальных заявлений. Кроме того, все связанные адреса и контракты с уязвимой логикой должны быть признаны высокорискованными до устранения проблемы.
Источник:
