L’équipe de développement d’AkuDreams a été avertie du bug dans son contrat intelligent, mais elle l’a qualifié de « fonctionnalité «
Le projet de jetons non fongibles AkuDreams, qui a fait l’objet d’un grand battage médiatique, connaît des débuts difficiles après qu’un exploit a entraîné le blocage définitif de 34 millions de dollars de recettes dans un contrat intelligent.
Le pirate à l’origine de l’exploit aurait tenté d’exposer les vulnérabilités du code. En raison de cet exploit, plus de 11 500 Ethereum (ETH) sont devenus inaccessibles à l’équipe de développeurs.
Le projet a été mis en ligne le 22 avril à l’aide d’une enchère hollandaise et a ouvert à 3,5 ETH, et 5 495 NFT sur le total de 15 000 NFT de la collection ont été mis en vente. Le contrat intelligent de l’enchère a été programmé pour rembourser tous ceux qui ont sous-enchéri.
34 millions de dollars bloqués pour toujours
Selon le développeur de NFT, 0xInuarashi, le contrat intelligent était programmé pour rembourser les enchérisseurs avant que l’équipe ne puisse retirer des fonds. Cependant, des bogues dans le code ont introduit des vulnérabilités.
https://t.co/A9lobVZC3p
34 millions USD envolés. Juste comme ça. Bloqués dans le contrat pour toujours.Beaucoup de gens ont mis la lumière sur le deuil qui a verrouillé processRefunds() pour un peu, c’était le premier exploit.
Heureusement, cela a été déverrouillé, mais les fonds sont toujours bloqués pour toujours. Comment ?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
L’offre comportait également une mise en garde selon laquelle le nombre minimum d’offres devait être égal au nombre total de NFT disponibles pour les enchères, soit 5 495. Si le nombre d’offres réelles était supérieur à ce chiffre, le problème venait du fait que plusieurs acheteurs utilisaient la même offre pour plusieurs monnaies.
Le résultat est qu’il y a moins d’offres que le nombre total de NFTs disponibles pour les enchères. Pour cette raison, plus de 34 millions de dollars de recettes dans le contrat intelligent sont bloqués pour toujours et ne peuvent pas être retirés.
Plusieurs développeurs ont averti AkuDreams de la vulnérabilité avant que le projet ne soit lancé, mais l’équipe n’a pas tenu compte de ces avertissements.
L’équipe d’AkuDreams a prétendu qu’il s’agissait d’une fonctionnalité, et non d’un exploit, alors que plusieurs développeurs avaient fait part de leurs inquiétudes avant la mise en ligne. Des justifications bizarres. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) April 23, 2022
Dans un tweet de l’équipe, aujourd’hui supprimé, ils ont qualifié le bogue de fonctionnalité lorsque les développeurs les ont contactés pour les en avertir.
Le hacker a décidé de leur montrer qu’un exploit n’est pas une fonctionnalité en exécutant un « contrat de griefing ».
Ce contrat bloquait initialement la possibilité de rembourser ceux qui sous-enchérissaient, et le pirate anonyme a intégré un message sur la chaîne pour faire savoir qu’il s’agissait d’un exploit.
Source : 0xInuarashi
Réponse de l’équipe de développement
L’équipe AkuDreams a pris ses responsabilités et a annulé le premier exploit pour permettre les remboursements. Cependant, le second exploit signifie qu’elle ne peut pas récupérer les 34 millions de dollars bloqués dans le contrat intelligent.
Mise à jour rapide (je donnerai plus de détails dès que possible) :
1. L’exploit dans le contrat n’a pas été fait par malveillance ; la personne avait l’intention d’attirer l’attention sur les meilleures pratiques pour les projets très visibles & ; nouvelles mécaniques. Ils ont débloqué l’exploit rapidement après que nous ayons creusé et pris la responsabilité
– Aku : : Akutars (@AkuDreams) April 23, 2022
Le fondateur du projet, Micah Johnson, a depuis présenté ses excuses. En outre, l’équipe a publié une mise à jour indiquant que le contrat de frappe avait été réécrit et audité. Elle a également promis de rembourser les détenteurs de pass.
