El equipo de desarrollo de AkuDreams fue advertido sobre el error en su contrato inteligente, pero se refirió a él como una «característica».
El muy publicitado proyecto de tokens no fungibles AkuDreams ha tenido un comienzo difícil después de que un exploit provocara que 34 millones de dólares en ganancias quedaran bloqueados en un contrato inteligente para siempre.
El hacker detrás del exploit estaba tratando de exponer las vulnerabilidades en el código. El exploit provocó que más de 11.500 Ethereum (ETH) quedaran inaccesibles para el equipo de desarrolladores.
El proyecto se puso en marcha el 22 de abril mediante una subasta holandesa y se abrió a 3,5 ETH, y se pusieron a la venta 5.495 NFT del total de 15.000 NFT de la colección. El contrato inteligente para la subasta fue programado para reembolsar a todos los que pujaron por debajo de la oferta.
34 millones de dólares bloqueados para siempre
Según el desarrollador de NFT 0xInuarashi, el contrato inteligente estaba programado para reembolsar a los pujadores antes de que el equipo pudiera retirar los fondos. Sin embargo, los errores en el código introdujeron vulnerabilidades.
https://t.co/A9lobVZC3p
34 millones de dólares desaparecidos. Así de fácil. Encerrado en el contrato para siempre.Mucha gente puso luz en el duelo que bloqueó processRefunds() por un tiempo, ese fue el primer exploit.
Por suerte eso se desbloqueó, pero los fondos siguen bloqueados para siempre. ¿Cómo?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
También tenía la advertencia de que el número mínimo de ofertas debía ser igual al número total de NFT disponibles para la subasta, que es de 5.495. Aunque el número de pujas reales fue superior a éste, el problema vino del hecho de que varios compradores utilizaron la misma puja para varias cecas.
El resultado es que hay menos pujas que el número total de NFT disponibles para la subasta. Debido a esta razón, más de 34 millones de dólares de recaudación en el contrato inteligente están bloqueados para siempre y no pueden ser retirados.
Varios desarrolladores advirtieron a AkuDreams’ sobre la vulnerabilidad antes de que el proyecto se pusiera en marcha, pero el equipo no hizo caso a las advertencias.
El equipo de AkuDreams pretendió que se trataba de una característica, no de un exploit, cuando múltiples desarrolladores plantearon sus preocupaciones antes de la menta. Justificaciones extrañas. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) April 23, 2022
En un tuit ya borrado del equipo, etiquetaron el fallo como una característica cuando los desarrolladores se pusieron en contacto con ellos para advertirles de ello.
El hacker decidió demostrarles que un exploit no es una característica ejecutando un «griefing contract».
Este contrato bloqueaba inicialmente la posibilidad de reembolsar a los que pujaban por debajo de lo esperado, y el hacker anónimo incrustó un mensaje en la cadena para hacerles saber que se trataba de un exploit.
Fuente: 0xInuarashi
Respuesta del equipo de desarrollo
El equipo de AkuDreams asumió la responsabilidad y revirtió el primer exploit para permitir los reembolsos. Sin embargo, el segundo exploit significa que no puede recuperar los 34 millones de dólares atrapados en el contrato inteligente.
Actualización rápida (entrará en más detalles en breve):
1. El exploit en el contrato no fue hecho por malicia; la persona tenía la intención de llamar la atención sobre las mejores prácticas para proyectos altamente visibles & mecánica novedosa. Desbloquearon el exploit rápidamente después de que escarbáramos y nos hiciéramos cargo
– Aku :: Akutars (@AkuDreams) 23 de abril de 2022
El fundador del proyecto, Micah Johnson, se ha disculpado desde entonces. Además, el equipo publicó una actualización en la que afirmaba que el contrato de acuñación había sido reescrito y auditado. También prometió reembolsar a los titulares de los pases.
