Il team di sviluppatori di AkuDreams è stato avvertito del bug nel suo contratto intelligente, ma si è riferito ad esso come una “caratteristica. “
Il tanto sbandierato progetto di token non fungibile AkuDreams ha avuto un inizio difficile dopo che un exploit ha fatto sì che 34 milioni di dollari di proventi fossero bloccati per sempre in un contratto intelligente.
L’hacker dietro l’exploit stava cercando di esporre le vulnerabilità del codice. L’exploit ha portato oltre 11.500 Ethereum (ETH) a diventare inaccessibile al team di sviluppatori.
Il progetto è entrato in funzione il 22 aprile utilizzando un’asta olandese e ha aperto a 3,5 ETH, e 5.495 NFT sul totale di 15.000 NFT nella collezione sono stati messi in vendita. Il contratto intelligente per l’asta è stato programmato per rimborsare tutti coloro che hanno fatto un’offerta inferiore.
$34 milioni bloccati per sempre
Secondo lo sviluppatore di NFT 0xInuarashi, il contratto intelligente era programmato per rimborsare gli offerenti prima che il team potesse ritirare i fondi. Tuttavia, dei bug nel codice hanno introdotto delle vulnerabilità.
https://t.co/A9lobVZC3p
34 milioni di dollari spariti. Proprio così. Bloccato nel contratto per sempre.Un sacco di gente ha messo luce sul lutto che ha bloccato processRefunds() per un po’, quello era il primo exploit.
Per fortuna è stato sbloccato, ma i fondi sono ancora bloccati per sempre. Come?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
Ha anche un avvertimento che il numero minimo di offerte deve essere uguale al numero totale di NFT disponibili per l’asta, che è 5.495. Mentre il numero di offerte effettive era superiore a questo, il problema derivava dal fatto che diversi acquirenti stavano usando la stessa offerta per più zecche.
Il risultato è che ci sono meno offerte rispetto al numero totale di NFT disponibili all’asta. A causa di questo motivo, oltre 34 milioni di dollari di proventi nel contratto intelligente sono bloccati per sempre e non possono essere ritirati.
Diversi sviluppatori hanno avvertito AkuDreams’ della vulnerabilità prima che il progetto andasse in funzione, ma il team non ha ascoltato gli avvertimenti.
Il team di AkuDreams ha fatto finta che questa fosse una caratteristica, non un exploit, quando più sviluppatori hanno sollevato preoccupazioni prima del conio. Giustificazioni bizzarre. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) April 23, 2022
In un tweet ora cancellato dal team, hanno etichettato il bug come una caratteristica quando gli sviluppatori hanno raggiunto per avvertirli.
L’hacker ha deciso di mostrare loro che un exploit non è una caratteristica eseguendo un “contratto di griefing”.
Questo contratto ha inizialmente bloccato la capacità di rimborsare coloro che hanno fatto un’offerta inferiore, e l’hacker anonimo ha inserito un messaggio sulla catena per far sapere che si trattava di un exploit.
Fonte: 0xInuarashi
Risposta del team di sviluppo
Il team di AkuDreams si è preso la responsabilità e ha annullato il primo exploit per consentire i rimborsi. Tuttavia, il secondo exploit significa che non può recuperare i 34 milioni di dollari bloccati nel contratto intelligente.
Quick Update (entrerà più in dettaglio al più presto):
1. L’exploit nel contratto non è stato fatto per cattiveria; la persona intendeva portare l’attenzione sulle migliori pratiche per i progetti altamente visibili & meccanica innovativa. Hanno sbloccato l’exploit rapidamente dopo che abbiamo scavato e preso la proprietà
– Aku :: Akutars (@AkuDreams) April 23, 2022
Il fondatore del progetto, Micah Johnson, si è poi scusato. Inoltre, il team ha rilasciato un aggiornamento affermando che il contratto di conio era stato riscritto e controllato. Ha anche promesso di rimborsare i possessori di pass.
