Екипът на AkuDreams е бил предупреден за грешката в своя интелигентен договор, но я е нарекъл „функция“
Изключително популярният проект за непарични токени AkuDreams започна с труден старт, след като експлойт доведе до това, че постъпленията в размер на 34 млн. долара бяха блокирани завинаги в интелигентен договор.
Съобщава се, че хакерът, който стои зад експлойта, се е опитвал да разкрие уязвимостите в кода. Експлойтът е довел до това, че над 11 500 Ethereum (ETH) са станали недостъпни за екипа от разработчици.
Проектът бе пуснат на 22 април с помощта на холандски търг и бе открит на цена от 3,5 ETH, а за продажба бяха пуснати 5495 НФТ от общо 15 000 НФТ в колекцията. Интелигентният договор за търга беше програмиран да възстанови парите на всички, които са предложили по-ниска цена.
34 милиона долара са заключени завинаги
Според разработчика на NFT 0xInuarashi, интелигентният договор е бил програмиран да възстанови парите на участниците в търга, преди екипът да може да изтегли средствата. Грешки в кода обаче са въвели уязвимости.
https://t.co/A9lobVZC3p
34 милиона щатски долара са изчезнали. Точно така. Заключени в договора завинаги.Много хора пуснаха светлина върху жалейката, която блокира processRefunds() за малко, това беше първият експлойт.
За щастие това беше отключено, но средствата все още са заключени завинаги. Как?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
В него също така имаше уговорка, че минималният брой оферти трябва да е равен на общия брой налични за търга NFT, който е 5495. Макар че броят на действителните оферти беше по-голям от този, проблемът идваше от факта, че няколко купувачи използваха една и съща оферта за няколко монети.
В резултат на това офертите са по-малко от общия брой НФТ, налични за търга. Поради тази причина постъпленията от над 34 млн. долара в интелигентния договор са заключени завинаги и не могат да бъдат изтеглени.
Различни разработчици са предупредили AkuDreams’ за уязвимостта преди проектът да бъде пуснат на живо, но екипът не се е вслушал в предупрежденията.
Екипът на AkuDreams се е преструвал, че това е функция, а не експлойт, когато множество разработчици са изразили опасения преди ментето. Странни оправдания. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) Април 23, 2022
В един вече изтрит туит от екипа са обозначили грешката като функция, когато разработчиците са ги потърсили, за да ги предупредят за нея.
Хакерът реши да им покаже, че експлойтът не е функция, като изпълни „договор за ощетяване“.
Първоначално този договор блокира възможността за възстановяване на суми на тези, които са предложили по-ниска цена, а анонимният хакер е вградил съобщение във веригата, за да ги уведоми, че това е експлойт.
Източник: 0xInuarashi
Отговор на екипа на разработчиците
Екипът на AkuDreams пое отговорност и отмени първия експлойт, за да позволи възстановяването на средства. Вторият експлойт обаче означава, че той не може да върне 34-те милиона долара, заседнали в интелигентния договор.
Бърза актуализация (ще навлезе в повече подробности в най-скоро време):
1. Експлойтът в договора не е направен от злонамереност; лицето е имало за цел да привлече вниманието към най-добрите практики за силно видими проекти & нова механика. Те деблокираха експлойта бързо, след като се разровихме и поехме отговорност
– Aku :: Akutars (@AkuDreams) April 23, 2022
Основателят на проекта, Мика Джонсън, оттогава се извини. Освен това екипът пусна актуализация, в която се посочва, че договорът за сечене на монети е бил пренаписан и проверен. Той също така обеща да върне парите на притежателите на пропуски.
