AkuDreams開発チームはスマートコントラクトのバグについて警告されていたが、それを「機能」として言及した。
注目の非可溶性トークン・プロジェクトAkuDreamsは、エクスプロイトによって3400万ドルの収益がスマートコントラクトに永遠にロックされてしまい、不安定なスタートを切っている。
このエクスプロイトの背後にいるハッカーは、コードの脆弱性を暴露しようとしていたと伝えられている。このエクスプロイトにより、11,500以上のイーサリアム(ETH)が開発者チームからアクセス不能になった。
このプロジェクトは4月22日にダッチオークションを用いてライブ化され、3.5ETHでオープンし、コレクションされている全15,000NFTのうち5,495NFTが売りに出された。オークションのスマートコントラクトは、入札を下回った人全員に返金するようプログラムされていました
。
$34 million locked forever
NFTの開発者0xInuarashi氏によると、スマートコントラクトは、チームが資金を引き出す前に入札者に返金するようにプログラムされていた。しかし、コードにバグがあり、脆弱性が発生しました。
https://t.co/A9lobVZC3p
3400万米ドルが消えた。3400万ドルが消えた。永遠に契約に縛られる。多くの人がprocessRefunds()を少しロックした悲嘆にくれて、それが最初の悪用だった。
幸いにもそれは解除されましたが、資金はまだ永遠にロックされたままです。どうやって?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
また、最低入札数はオークションにかけられるNFTの総数5,495と同数でなければならないという注意書きがあった。実際の入札数はこれより多かったが、問題は複数のバイヤーが複数のミントに対して同じ入札を利用していたことにある。
その結果、オークションにかけられるNFTの総数より入札数が少なくなってしまったのです。この理由のため、スマートコントラクトの3400万ドル以上の収益が永遠にロックされ、引き出すことができなくなった。
様々な開発者がプロジェクト稼働前にAkuDreams’にこの脆弱性について警告しましたが、チームは警告を聞き入れませんでした。
AkuDreamsチームは、複数の開発者がmintの前に懸念を表明したとき、これは悪用ではなく、機能であるかのように装っていました。奇妙な正当化。pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) April 23, 2022
現在削除されているチームのツイートでは、開発者がこのバグについて警告するために手を差し伸べたとき、彼らはバグを機能であるとレッテル貼りしました。
ハッカーは、”グリーフ契約 “を実行することで、エクスプロイトが機能でないことを示すことにしたのです。
この契約は当初、入札を下回る人たちに返金する機能をロックし、匿名のハッカーは、それがexploitであることを知らせるためにオンチェーンメッセージを埋め込みました。
Source: 0xInuarashi
開発チームの対応
。
AkuDreamsチームは責任を取り、最初のエクスプロイトを取り消し、払い戻しを可能にしました。しかし、2つ目のエクスプロイトにより、スマートコントラクトに引っかかった3400万ドルを取り戻すことはできない。
クイックアップデート(早急に詳細な情報を記載します)。
1. 契約におけるエクスプロイトは、悪意から行われたものではなく、その人は、非常に目に見えるプロジェクト&ampのベストプラクティスに注目を集めることを意図していた;新しいメカニズム。彼らは、我々が掘り下げ、所有権を取得した後、迅速にエクスプロイトをブロック解除しました
– Aku :: アクターズ (@AkuDreams) 2022年4月23日
。
プロジェクトの創設者であるMicah Johnson氏はその後謝罪しています。さらに、造幣契約書の書き換えと監査を行ったとするアップデートを発表した。また、パスホルダーに返金することも約束しました。
