Широко разрекламированный проект невзаимозаменяемых токенов AkuDreams находится в тяжелом начале после того, как эксплойт привел к тому, что выручка в размере 34 миллионов долларов была навсегда заблокирована в смарт-контракте.
Сообщается, что хакер, стоящий за эксплойтом, пытался выявить уязвимости в коде. Эксплойт привел к тому, что более 11 500 Ethereum (ETH) стали недоступны для команды разработчиков.
Проект был запущен 22 апреля с использованием голландского аукциона и открылся по цене 3,5 ETH, и на продажу было выставлено 5 495 NFT из общего количества 15 000 NFT в коллекции. Смарт-контракт аукциона был запрограммирован на возмещение средств всем, кто предложил меньше.
34 миллиона долларов заблокированы навсегда
По словам разработчика NFT 0xInuarashi, смарт-контракт был запрограммирован на возврат средств участникам торгов до того, как команда сможет вывести средства. Однако ошибки в коде привели к появлению уязвимостей.
https://t.co/A9lobVZC3p
Пропало 34 миллиона долларов. Просто так. Заключен в контракте навсегда.Многие люди пролили свет на горе, которое на некоторое время заблокировало processRefunds(), это был первый эксплойт.
К счастью, это было разблокировано, но средства по-прежнему заблокированы навсегда. Как?
🧵 1/
— 0xInuarashi (@0xInuarashi) 23 апреля 2022 г.
Также была оговорка, что минимальное количество заявок должно быть равно общему количеству NFT, доступных для аукциона, которое составляет 5495. Хотя количество фактических ставок было больше, проблема возникла из-за того, что несколько покупателей использовали одну и ту же ставку для нескольких монетных дворов.
В результате предложений меньше, чем общее количество NFT, доступных для аукциона. По этой причине более 34 миллионов долларов выручки по смарт-контракту навсегда заблокированы и не могут быть сняты.
Различные разработчики предупреждали AkuDreams об уязвимости еще до запуска проекта, но команда не прислушалась к предупреждениям.
Команда AkuDreams сделала вид, что это функция, а не эксплойт, когда несколько разработчиков выразили обеспокоенность перед выпуском. Странные оправдания. pic.Twitter.com/cVgEXnnWzF
— foobar (@0xfoobar) 23 апреля 2022 г.
В уже удаленном твите команда пометила ошибку как функцию, когда разработчики обратились к ним, чтобы предупредить их об этом.
Хакер решил показать им, что эксплойт не является фичей, выполнив «контракт огорчения».
Этот контракт изначально заблокировал возможность возмещения тем, кто занизил ставку, и анонимный хакер внедрил сообщение в цепочке, чтобы сообщить им, что это был эксплойт.
Ответ команды разработчиков
Команда AkuDreams взяла на себя ответственность и отменила первый эксплойт, чтобы разрешить возврат средств. Однако второй эксплойт означает, что он не может вернуть 34 миллиона долларов, застрявших в смарт-контракте.
Быстрое обновление (будет подробно описано как можно скорее):
1. Подвиг в договоре сделан не со злым умыслом; человек, намеревавшийся привлечь внимание к передовому опыту для заметных проектов и новой механики. Они быстро разблокировали эксплойт после того, как мы закопались и взяли на себя ответственность.
— Аку :: Акутарс (@AkuDreams) 23 апреля 2022 г.
Основатель проекта Мика Джонсон принес извинения. Кроме того, команда выпустила обновление, в котором говорится, что контракт на чеканку был переписан и проверен. Он также пообещал вернуть владельцам пропусков.
Олувапелуми верит в преобразующую силу Биткойна и индустрии блокчейнов.
