AkuDreams dev team was gewaarschuwd voor de bug in zijn smart contract, maar het verwees ernaar als een “functie. “
Het veelbesproken niet-fungibele tokenproject AkuDreams heeft een moeizame start nadat een exploit ervoor zorgde dat $34 miljoen aan opbrengsten voor altijd werd opgesloten in een smart contract.
De hacker achter de exploit probeerde naar verluidt de kwetsbaarheden in de code bloot te leggen. De exploit resulteerde in meer dan 11.500 Ethereum (ETH) die ontoegankelijk werden voor het ontwikkelteam.
Het project ging live op 22 april met behulp van een Nederlandse veiling en opende op 3,5 ETH, en 5.495 NFT’s van de in totaal 15.000 NFT’s in de collectie werden te koop aangeboden. Het slimme contract voor de veiling was geprogrammeerd om iedereen die te weinig had geboden terug te betalen.
$34 miljoen voor altijd vergrendeld
Volgens NFT-ontwikkelaar 0xInuarashi was het slimme contract geprogrammeerd om bieders terug te betalen voordat het team geld kon opnemen. Echter, bugs in de code introduceerden kwetsbaarheden.
https://t.co/A9lobVZC3p
34 miljoen dollar weg. Zomaar. Voor altijd vastgezet in het contract.Veel mensen staken hun licht op de grief die processRefunds() voor een tijdje vergrendelde, dat was de eerste exploit.
Gelukkig is dat ontgrendeld, maar de fondsen zijn nog steeds voor altijd geblokkeerd. Hoe?
1/
– 0xInuarashi (@0xInuarashi) April 23, 2022
Het had ook de voorwaarde dat het minimumaantal biedingen gelijk moest zijn aan het totale aantal voor veiling beschikbare NFT’s, namelijk 5.495. Hoewel het aantal daadwerkelijke biedingen groter was dan dit, kwam het probleem doordat verschillende kopers hetzelfde bod voor meerdere munten gebruikten.
Het resultaat is dat er minder biedingen zijn dan het totale aantal NFT’s dat voor veiling beschikbaar is. Door deze reden is meer dan 34 miljoen dollar aan opbrengsten in het smart contract voor altijd vergrendeld en kan niet worden teruggetrokken.
Verschillende ontwikkelaars waarschuwden AkuDreams’ voor de kwetsbaarheid voordat het project live ging, maar het team gaf geen gehoor aan de waarschuwingen.
Het AkuDreams team deed alsof dit een feature was, en geen exploit, toen meerdere ontwikkelaars hun bezorgdheid uitten voorafgaand aan mint. Bizarre rechtvaardigingen. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) April 23, 2022
In een nu verwijderde tweet van het team, bestempelden ze de bug als een functie toen ontwikkelaars hen daarvoor waarschuwden.
De hacker besloot hen te laten zien dat een exploit geen feature is door een “griefing contract” uit te voeren.
Dit contract vergrendelde in eerste instantie de mogelijkheid om degenen die te weinig boden terug te betalen, en de anonieme hacker sloot een on-chain bericht in om hen te laten weten dat het om een exploit ging.
Bron: 0xInuarashi
Dev team response
Het AkuDreams team heeft de verantwoordelijkheid genomen en de eerste exploit teruggedraaid om terugbetalingen mogelijk te maken. De tweede exploit betekent echter dat het de $34 miljoen die vastzit in het smart contract niet terug kan krijgen.
Quick Update (zal z.s.m. meer in detail treden):
1. De exploit in het contract werd niet gedaan uit kwaadwilligheid; de persoon was van plan om de aandacht te vestigen op best practices voor zeer zichtbare projecten & novel mechanics. Ze hebben de exploit snel gedeblokkeerd nadat we ons erin hadden verdiept en de verantwoordelijkheid hadden genomen
– Aku :: Akutars (@AkuDreams) April 23, 2022
De oprichter van het project, Micah Johnson, heeft sindsdien zijn excuses aangeboden. Daarnaast heeft het team een update uitgebracht waarin staat dat het contract voor het slaan van de pas is herschreven en gecontroleerd. Het beloofde ook om pashouders terug te betalen.
