Команда разработчиков AkuDreams заблокировала 34 миллиона долларов из-за ошибки в смарт-контракте

Долгожданный проект NFT Akutars был омрачен как эксплойтом, так и ошибкой на выходных, в результате чего более 11 500 Ethereum (ETH) на сумму почти 33 миллиона долларов были навсегда заблокированы в смарт-контракте, недоступном даже для команды разработчиков.

Однако эксплойт был осуществлен кем-то, кто пытался показать уязвимость в проекте, а не украсть средства с помощью взлома.

Проект был запущен в пятницу, 22 апреля, с голландского аукциона, типа аукциона, на котором цена снижается до тех пор, пока не будет получена ставка, при этом первая ставка выигрывает продажу, пока цена выше резерва.

Аукцион открылся на уровне 3,5 Ethereum, и только 5 495 из доступных 15 000 NFT были выставлены на продажу, а смарт-контракт был настроен на возврат средств всем участникам торгов, предложившим заниженную ставку. Владельцам «Aku Mint Pass» также была предоставлена ​​скидка 0,5 Ethereum на каждый отчеканенный NFT.

Ошибка на 33 миллиона долларов

В ветке Twitter от 23 апреля, объясняющей колоссальную ошибку в 33 миллиона долларов, 0xInuarashi, разработчик нескольких проектов NFT, объяснил, что смарт-контракт Akutars был закодирован таким образом, что возврат средств участникам торгов должен был быть обработан сначала, прежде чем команда сможет вывести какие-либо средства.

В контракте была оговорка о том, что должно быть сделано минимальное количество ставок, прежде чем это позволит команде отказаться, но минимальное количество ставок было установлено равным количеству NFT, доступных для аукциона.

К сожалению, из-за того, что некоторые покупатели выпускают несколько NFT в рамках одной заявки, условия контракта означают, что он никогда не будет разблокирован, что навсегда запечатает почти 33 миллиона долларов в Ethereum.

Коинтелеграф связался с командой Akutars для комментариев, но не сразу получил ответ.

Эксплойт

В уже удаленном твите, опубликованном Akutars, которым поделился разработчик DeFi foobar, говорится, что разработчики связались с ними, предупредив, что их контракт может быть использован, но, похоже, полностью проигнорировали их, поскольку они назвали потенциальную уязвимость «функцией».

Команда AkuDreams сделала вид, что это функция, а не эксплойт, когда несколько разработчиков выразили обеспокоенность перед выпуском. Странные оправдания.pic.twitter.com/cVgEXnnWzF— foobar (@0xfoobar) 23 апреля 2022 г.

Во время чеканки неизвестный человек подписал так называемый «контракт огорчения», который заблокировал возможность контракта Akutars обрабатывать возмещение тем, кто занижал цену. Этот человек даже внедрил в блокчейн сообщение для команды Akutars, в котором говорилось, что они прекратят действие контракта:

«Ну, это было весело, я не собирался использовать это, лол. В противном случае я бы не использовал Coinbase. Как только вы, ребята, публично признаете, что эксплойт существует, я немедленно сниму блокировку».

Затем Акутарс быстро отреагировал, взяв на себя ответственность за код, и предположил, что эксплойт «был сделан не по злому умыслу», а человек «намеревался привлечь внимание к лучшим практикам для широко известных проектов».

Быстрый апдейт (расскажу подробнее в ближайшее время): 1. Эксплойт в контракте был сделан не по злому умыслу;человек, намеревавшийся привлечь внимание к передовому опыту для заметных проектов и новой механики. Они быстро разблокировали эксплойт после того, как мы закопались и взяли на себя ответственность — Aku :: Akutars (@AkuDreams) 23 апреля 2022 г.

В твиттере в тот же день основатель проекта и бывший профессиональный бейсболист Мика Джонсон принес извинения сообществу, отметив, что после того, как подвел их, он «продолжит строить по кирпичику» и неустанно работать, чтобы избежать любых подобных проблем. вперед.

Команда также заявила, что будет возвращать 0,5 Ethereum держателям пропусков, а также раздавать NFT успешным участникам торгов.

Совершенные ошибки никому не дороже, чем мне самому. Я реинвестировал почти все в создание Aku. и почти все вернется к возмещению, и мы продолжим строить то, что намеревались сделать. По кирпичику.https://t.co/vQiPbl0Jpl— Мика Джонсон (@Micah_Johnson3) 23 апреля 2022 г.

В обновлении, опубликованном в воскресенье, 24 апреля, команда сообщила, что переписала свой контракт на чеканку, который затем был проверен несколькими разработчиками, и планирует выпустить чеканку в понедельник 25 апреля.

Связанный: Хакер запутал эксплойт DeFi: оставляет украденный контракт на 1 миллион долларов, настроенный на самоуничтожение