NFT veiling op SushiSwap gehackt voor $3 miljoen ethereum (ETH)

Foto: Primakov/Shutterstock

Een veiling voor non-fungible tokes (NFT) op het MISO platform van SushiSwap werd gisteren gehackt. De hacker is met maar liefst $3 miljoen aan ethereum (ETH) ervandoor, meldt SushiSwap CTO Joseph Delong op 16 september:

https://twitter.com/josephdelong/status/1438712356352274433

Delong meldt dat een zekere ‘AristoK3’ “kwaadaardige code” injecteerde in de front-end van de MISO launchpad om een supply chain aanval uit te voeren. De veiling die werd gehackt, was die van Jay Pegs Auto Mart, NFT’s van 2007 Kia Sedona’s.

Deze NFT’s waren voornamelijk als grap bedoelt, echter werd maar liefst 864,8 ETH en dat was waarschijnlijk minder grappig. De hacker had het wallet-adres in het contract van de veiling vervangen met zijn eigen wallet, zegt Delong. Jay Pegs Auto Mart meldt dat iedereen nog steeds zijn NFT’s zal ontvangen:

Hey folks. Everyone will still receive their 2007 Kia Sedona NFTs, and the exchange is still scheduled to begin on 9/21/2021. https://t.co/oYgqyHY8Jp

— Jay Pegs Auto Mart 🤝 (@jaypegsautomart) September 17, 2021

Volgens Delong is deze AritoK3 een blockchain ontwikkelaar genaamd ‘0x A.K.’ of ‘Eratos1122.’ Het is momenteel onduidelijk wie dat is, Delong beweert dat hij voorheen aan Yearn Finance (YFI) heeft gewerkt. SushiSwap heeft contact opgenomen met cryptocurrency-exchanges FTX en Binance om know-your-customer (KYC) informatie op te vragen, maar zij wilde deze voorlopig nog niet overhandigen.

Verder meldt Delong dat als het gestolen geld niet tegen 1 uur vanmiddag Nederlandse tijd is teruggestuurd, dat advocaat Stephen Palley aangifte zal doen bij de Federal Bureau of Investigation (FBI). De deadline was eigenlijk al verstreken, maar Delong meldde zojuist dat de hacker 100 ETH, ter waarde van zo’n $350 duizend, heeft geretourneerd. “Hopelijk volgt nog de rest,” aldus Delong.

100 ETH has been returned to the Sushi multisig. Hoping the attacker sends the resthttps://t.co/PpvYCaIUeq https://t.co/Xz7uQiHRW9

— joseph.eth (@josephdelong) September 17, 2021

De decentralized finance (DeFi) sector staat nog in de kinderschoenen en zag het afgelopen jaar veel van dit soort aanvallen waar iemand misbruik maakte van een fout in de code om een smart contract leeg te roven. Eerder deze week was het Zabu Finance platform het doelwit.

Kevin Schijven is sinds mei 2018 werkzaam bij Crypto Insiders en vervult daar de rol van (eind)redacteur. Met een achtergrond in ICT en bedrijfskunde, gevolgd door rechten en criminologie aan de Vrije Universiteit, brengt hij een unieke mix van vaardigheden mee. Zijn interesse in cryptocurrency ontstond door de potentie om een bedrijf op te bouwen rond nieuwe technologie. Kevin heeft inmiddels duizenden artikelen geschreven en is gespecialiseerd in het laatste crypto nieuws.