Zespół deweloperów AkuDreams został ostrzeżony o błędzie w swoim inteligentnym kontrakcie, ale określił go jako „cechę „
Bardzo głośny projekt niezbywalnych tokenów AkuDreams ma za sobą trudny start po tym, jak exploit spowodował, że 34 miliony dolarów wpływów zostały na zawsze zablokowane w inteligentnym kontrakcie.
Według doniesień, haker stojący za tym exploitem próbował ujawnić luki w kodzie. W wyniku exploita ponad 11 500 jednostek Ethereum (ETH) stało się niedostępnych dla zespołu deweloperów.
Projekt został uruchomiony 22 kwietnia za pomocą aukcji holenderskiej i został otwarty po cenie 3,5 ETH, a na sprzedaż wystawiono 5 495 NFT z całkowitej liczby 15 000 NFT znajdujących się w kolekcji. Inteligentny kontrakt dla aukcji został zaprogramowany tak, aby zwrócić pieniądze wszystkim, którzy nie złożyli oferty.
$34 miliony zablokowane na zawsze
Według twórcy NFT, 0xInuarashi, inteligentny kontrakt został zaprogramowany tak, aby zwracać pieniądze oferentom, zanim zespół będzie mógł je wypłacić. Jednak błędy w kodzie wprowadziły luki w zabezpieczeniach.
https://t.co/A9lobVZC3p
Przepadły 34 miliony dolarów. Tak po prostu. Kontrakt zamknięty na zawsze.Wiele osób zapaliło światło na żałobę, która zablokowała processRefunds() na jakiś czas, to był pierwszy exploit.
Na szczęście udało się go odblokować, ale środki nadal są zablokowane na zawsze. Jak?
1/
– 0xInuarashi (@0xInuarashi) Kwiecień 23, 2022
Zawierała również zastrzeżenie, że minimalna liczba ofert musi być równa całkowitej liczbie NFT dostępnych na aukcji, która wynosi 5 495. Chociaż liczba rzeczywistych ofert była wyższa, problem wynikał z faktu, że kilku kupujących złożyło tę samą ofertę na wiele mennic.
W rezultacie liczba ofert jest mniejsza niż całkowita liczba monet NFT dostępnych na aukcji. Z tego powodu ponad 34 miliony dolarów wpływów w inteligentnym kontrakcie zostały zablokowane na zawsze i nie można ich wycofać.
Różni deweloperzy ostrzegali AkuDreams’ o luce zanim projekt został uruchomiony, ale zespół nie zważał na ostrzeżenia.
Zespół AkuDreams udawał, że jest to funkcja, a nie exploit, kiedy wielu programistów zgłaszało zastrzeżenia przed uruchomieniem projektu. Dziwaczne uzasadnienia. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) 23 kwietnia 2022
W usuniętym już tweecie zespół oznaczył błąd jako funkcję, gdy deweloperzy zwrócili się do nich z ostrzeżeniem o nim.
Haker postanowił pokazać im, że exploit to nie funkcja, wykonując „kontrakt griefingowy”.
Kontrakt ten początkowo zablokował możliwość zwrotu pieniędzy tym, którzy nie złożyli oferty, a anonimowy haker umieścił wiadomość na łańcuchu, aby poinformować ich, że jest to exploit.
Odpowiedź zespołu developerskiego
Zespół AkuDreams wziął na siebie odpowiedzialność i wycofał pierwszy exploit, aby umożliwić zwrot pieniędzy. Jednak drugi exploit oznacza, że nie może odzyskać 34 milionów dolarów, które utknęły w inteligentnym kontrakcie.
Szybka aktualizacja (wkrótce podam więcej szczegółów):
1. Exploit w kontrakcie nie został zrobiony w złej wierze; osoba ta chciała zwrócić uwagę na najlepsze praktyki dla bardzo widocznych projektów & nowatorską mechanikę. Odblokowali exploit szybko po tym, jak wkopaliśmy się w sprawę i przejęliśmy odpowiedzialność
– Aku :: Akutars (@AkuDreams) 23 kwietnia 2022
Założyciel projektu, Micah Johnson, od tego czasu przeprosił. Ponadto zespół opublikował aktualizację, w której poinformował, że umowa na wydobycie została przepisana na nowo i poddana audytowi. Obiecano również zwrot pieniędzy posiadaczom przepustek.