SuperRare gehackt: aanvaller steelt $731.000 aan RARE

Het NFT platform SuperRare is het nieuwste slachtoffer van een aanval op zijn smart contracts. Een fout in een van de functies gaf aanvallers volledige toegang tot de Merkle Root, waardoor ze tokens konden claimen die niet van hen waren. In totaal werd er voor zo’n $731.000 aan $RARE buitgemaakt.

Crypto is verkrijgbaar bij Bitvavo en Bybit.

Fout in permissiesysteem leidt tot aanval

De kwetsbaarheid zat in de update MerkleRoot functie. Die checkte niet of degene die de wijziging uitvoerde daartoe bevoegd was. Hierdoor kon iedereen in principe de root aanpassen en vervolgens onterecht RARE tokens claimen. De aanval werd ontdekt door beveiligingsfirma SlowMist, die via hun MistEye tool de exploit traceerde.

🚨ALERT🚨Our system has detected a malicious transaction targeting a @SuperRare staking contract. The attacker’s address, funded via @TornadoCash approximately 186 days ago, executed the exploit and gained 731K worth of $RARE . The stolen funds currently remain in the attacker’s…

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) · July 28, 2025

Volgens Cyvers Alerts is het betreffende wallet adres al 186 dagen geleden gefinancierd via Tornado Cash, een bekende mixer die vaak in verband wordt gebracht met anonieme of verdachte transacties. De gestolen tokens bevinden zich nog steeds op het adres van de aanvaller en zijn op dit moment nog niet omgewisseld of verplaatst.

Smart contract onder vuur

De exploit onderstreept het belang van beveiliging en toont opnieuw aan hoe belangrijk strikte permissie controle is bij smart contracts. Vooral bij NFT en staking platformen, waar vaak met automatische beloningen wordt gewerkt, kunnen kleine fouten grote gevolgen hebben. SuperRare zelf heeft nog geen officiële verklaring afgegeven.