AkuDreams dev team foi avisada sobre o bug no seu contrato inteligente, mas referiu-se a ele como uma “característica”
O projecto AkuDreams, muito tímido e não fungível, está a ter um começo difícil após uma exploração que fez com que 34 milhões de dólares de receitas ficassem bloqueados num contrato inteligente para sempre.
O hacker por detrás da exploração estava alegadamente a tentar expor as vulnerabilidades do código. A exploração resultou em mais de 11.500 Ethereum (ETH) se tornarem inacessíveis à equipa de desenvolvedores.
O projecto entrou em funcionamento a 22 de Abril utilizando um leilão holandês e abriu a 3,5 ETH, e 5.495 NFTs do total de 15.000 NFTs da colecção foram postos à venda. O contrato inteligente para o leilão foi programado para reembolsar todas as pessoas que apresentaram uma proposta inferior.
$34 milhões bloqueados para sempre
De acordo com a NFT developer 0xInuarashi, o contrato inteligente foi programado para reembolsar os concorrentes antes que a equipa pudesse retirar fundos. Contudo, bugs no código introduziram vulnerabilidades.
https://t.co/A9lobVZC3p
34 milhões de USD desaparecidos. Sem mais nem menos. Fechado no contrato para sempre.Muitas pessoas puseram luz sobre o luto que bloqueou o processoRefunds() por um pouco, essa foi a primeira exploração.
Felizmente isso foi desbloqueado, mas os fundos ainda estão bloqueados para sempre. Como?
1/
– 0xInuarashi (@0xInuarashi) W 23 de Abril de 2022
Tinha também uma advertência de que o número mínimo de licitações deve ser igual ao número total de NFT disponíveis para leilão, que é de 5,495. Embora o número de ofertas reais fosse mais do que isso, o problema surgiu do facto de vários compradores estarem a utilizar a mesma oferta para várias casas da moeda.
O resultado é que há menos licitações do que o número total de NFTs disponíveis para leilão. Devido a esta razão, mais de $34 milhões em receitas no contrato inteligente são bloqueados para sempre e não podem ser retirados.
Vários criadores avisaram a AkuDreams’ sobre a vulnerabilidade antes do projecto entrar em funcionamento, mas a equipa não atendeu aos avisos.
A equipa da AkuDreams fingiu que se tratava de uma característica, não de uma exploração, quando múltiplos criadores levantaram preocupações antes da menta. Justificações bizarras. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) 23 de Abril de 2022
Em um tweet agora apagado da equipa, eles rotularam o bug como uma característica quando os programadores chegaram para os avisar sobre o mesmo.
O hacker decidiu mostrar-lhes que uma exploração não é uma característica, executando um “contrato de luto”.
Este contrato bloqueou inicialmente a capacidade de reembolsar aqueles que tinham feito uma proposta inferior, e o hacker anónimo incorporou uma mensagem na cadeia para os avisar que se tratava de uma exploração.
Fonte: 0xInuarashi
Resposta da equipa de Dev
A equipa AkuDreams assumiu a responsabilidade e inverteu a primeira exploração para permitir reembolsos. No entanto, a segunda exploração significa que não pode recuperar os 34 milhões de dólares presos no contrato inteligente.
Quick Update (irá entrar em mais detalhes o mais rapidamente possível):
1. A exploração no contrato não foi feita por malícia; a pessoa pretendia chamar a atenção para as melhores práticas para projectos altamente visíveis & mecânica inovadora. Desbloquearam a exploração rapidamente depois de termos escavado e tomado posse
– Aku :: Akutars (@AkuDreams) 23 de Abril de 2022
O fundador do projecto, Micah Johnson, tem desde então pedido desculpa. Além disso, a equipa divulgou uma actualização afirmando que o contrato de cunhagem tinha sido reescrito e auditado. Também prometeu reembolsar os titulares de passes.
