Команда разработчиков AkuDreams была предупреждена об ошибке в смарт-контракте, но она назвала ее «особенностью».
Долгожданный проект AkuDreams по выпуску неиграбельных токенов стартовал неудачно после того, как из-за эксплойта 34 млн долларов США были навсегда заблокированы в смарт-контракте.
Хакер, стоявший за эксплойтом, по сообщениям, пытался раскрыть уязвимости в коде. В результате эксплойта более 11 500 Ethereum (ETH) стали недоступны для команды разработчиков.
Проект был запущен 22 апреля с помощью голландского аукциона и открылся по цене 3,5 ETH, на продажу было выставлено 5 495 NFT из 15 000 NFT в коллекции. Смарт-контракт для аукциона был запрограммирован на возврат средств всем, кто занизил ставку.
34 миллиона долларов заблокированы навсегда
По словам разработчика NFT 0xInuarashi, смарт-контракт был запрограммирован на возврат средств участникам торгов до того, как команда сможет вывести средства. Однако ошибки в коде привели к уязвимости.
https://t.co/A9lobVZC3p
34 миллиона долларов США пропали. Просто так. Зафиксированные в контракте навсегда.Многие люди зажгли свет, который заблокировал processRefunds() на некоторое время, это был первый эксплойт.
К счастью, это было разблокировано, но средства по-прежнему заблокированы навсегда. Как?
1/
— 0xInuarashi (@0xInuarashi) April 23, 2022
В нем также была оговорка, что минимальное количество заявок должно быть равно общему количеству НФТ, выставленных на аукцион, которое составляет 5 495. Хотя количество фактических ставок было больше, проблема возникла из-за того, что несколько покупателей использовали одну и ту же ставку для нескольких монетных дворов.
В результате заявок оказалось меньше, чем общее количество монет NFT, выставленных на аукцион. По этой причине более 34 миллионов долларов, вырученных по смарт-контракту, заблокированы навсегда и не могут быть отозваны.
Различные разработчики предупреждали AkuDreams’ об уязвимости еще до запуска проекта, но команда не прислушалась к предупреждениям.
Команда AkuDreams притворилась, что это была особенность, а не эксплойт, когда многие разработчики выразили обеспокоенность до появления mint. Причудливые оправдания. pic.twitter.com/cVgEXnnWzF
— foobar (@0xfoobar) Апрель 23, 2022
В ныне удаленном твите команды, они назвали ошибку функцией, когда разработчики обратились к ним, чтобы предупредить о ней.
Хакер решил показать им, что эксплойт — это не особенность, выполнив «griefing contract».
Этот контракт изначально блокировал возможность возврата средств тем, кто занизил ставку, а анонимный хакер встроил в цепочку сообщение, чтобы сообщить, что это эксплойт.
Ответ команды разработчиков
Команда AkuDreams взяла на себя ответственность и отменила первый эксплойт, чтобы обеспечить возврат средств. Однако второй эксплойт означает, что она не может вернуть 34 миллиона долларов, застрявших в смарт-контракте.
Краткое обновление (более подробная информация будет представлена в ближайшее время):
1. Эксплойт в контракте был сделан не из злого умысла; человек хотел привлечь внимание к лучшим практикам для хорошо заметных проектов & новая механика. Они быстро разблокировали эксплойт после того, как мы копнули и взяли на себя ответственность
— Aku :: Akutars (@AkuDreams) April 23, 2022
Основатель проекта, Мика Джонсон, принес свои извинения. Кроме того, команда выпустила обновление, в котором говорится, что контракт на майнинг был переписан и проверен. Она также пообещала вернуть деньги владельцам пропусков.