Vývojový tým AkuDreams byl na chybu ve svém chytrém kontraktu upozorněn, ale označil ji za „funkci“
Velmi opěvovaný projekt nefungujících tokenů AkuDreams má za sebou raketový start poté, co exploit způsobil, že výnosy ve výši 34 milionů dolarů byly navždy uzamčeny v chytrém kontraktu.
Hacker stojící za exploitem se údajně snažil odhalit zranitelnosti v kódu. Exploit měl za následek, že se více než 11 500 Ethereum (ETH) stalo pro vývojářský tým nedostupnými.
Projekt byl spuštěn 22. dubna pomocí holandské aukce a otevřen za 3,5 ETH a do prodeje bylo dáno 5495 NFT z celkových 15 000 NFT ve sbírce. Chytrý kontrakt pro aukci byl naprogramován tak, aby vrátil peníze všem, kteří nabídli nižší cenu.
34 milionů dolarů zablokováno navždy
Podle vývojáře NFT 0xInuarashiho byl inteligentní kontrakt naprogramován tak, aby vrátil peníze dražitelům ještě předtím, než tým mohl vybrat finanční prostředky. Chyby v kódu však zavedly zranitelnosti.
https://t.co/A9lobVZC3p
34 milionů dolarů pryč. Jen tak tak. Uzavřeno ve smlouvě navždy.Hodně lidí si posvítilo na truchlení, které na chvíli zablokovalo processRefunds(), to byl první exploit.
Ten byl naštěstí odemčen, ale prostředky jsou stále uzamčeny navždy. Jak?
1/
– 0xInuarashi (@0xInuarashi) 23. dubna 2022
Měla také výhradu, že minimální počet nabídek se musí rovnat celkovému počtu NFT, které jsou k dispozici v aukci, což je 5 495. Skutečný počet příhozů byl sice vyšší, ale problém vznikl tím, že několik kupujících použilo stejný příhoz pro více mincí.
Výsledkem je, že nabídek je méně, než je celkový počet NFT, které jsou k dispozici v aukci. Z tohoto důvodu je více než 34 milionů dolarů výtěžku v chytrém kontraktu navždy uzamčeno a nelze je vybrat.
Různí vývojáři varovali AkuDreams’před touto zranitelností ještě před spuštěním projektu, ale tým varování nedbal.
Tým AkuDreams se tvářil, že se jedná o funkci, nikoliv o exploit, když několik vývojářů vyjádřilo obavy ještě před vydáním mincovníku. Bizarní zdůvodnění. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) Dne 23. dubna 2022
V nyní již smazaném tweetu tým označil chybu jako funkci, když se vývojáři ozvali, aby je na ni upozornili.
Hacker se jim rozhodl ukázat, že exploit není funkce, a to tak, že provedl „griefing contract“.
Tato smlouva zpočátku blokovala možnost vrácení peněz těm, kteří podhodnotili nabídku, a anonymní hacker vložil do řetězce zprávu, aby jim dal najevo, že se jedná o exploit.
Zdroj: 0xInuarashi
Odpověď vývojového týmu
Tým AkuDreams převzal odpovědnost a zrušil první exploit, aby umožnil vrácení peněz. Druhý exploit však znamená, že nemůže získat zpět 34 milionů dolarů, které uvízly v chytrém kontraktu.
Rychlá aktualizace (podrobněji se jí budeme věnovat co nejdříve):
1. Exploit ve smlouvě nebyl proveden ze zlého úmyslu; osoba měla v úmyslu upozornit na osvědčené postupy pro velmi viditelné projekty & nová mechanika. Exploit odblokovali rychle poté, co jsme se v tom vrtali a převzali odpovědnost
– Aku :: Akutars (@AkuDreams) 23. dubna 2022
Zakladatel projektu Micah Johnson se mezitím omluvil. Kromě toho tým vydal aktualizaci, v níž uvedl, že smlouva o ražbě byla přepsána a zkontrolována. Slíbil také, že držitelům průkazů vrátí peníze.
