По иронии судьбы, Rug Pull Finder (RPF), наблюдательная организация, занимающаяся выявлением мошенничества на основе Web3, стала жертвой собственного эксплойта смарт-контракта.
Согласно сообщению следователя NFT в Twitter от 2 сентября, два человека воспользовались техническим недостатком проекта на этапе бесплатного майнинга, похитив 450 NFT из 1 221, которые должны были быть ограничены одним кошельком.
Как обсуждалось ранее сегодня на наших площадках в Твиттере -
- Rug Pull Finder (@rugpullfinder) 2 сентября 2022 г.
Мы облажались. Мы облажались по-крупному. В нашем контракте был недостаток, который позволял двум людям забирать более 450 NFT.
Вот что мы делаем, чтобы исправить это
Согласно RPF, в их смарт-контракте был обнаружен изъян, в результате которого код был использован, что позволило бандитам выделить больше допустимого количества NFT.
Команда RPF предприняла шаги по исправлению ситуации вскоре после появления эксплойта, предложив одному из участников сделки заплатить им вознаграждение в размере 2,5 Ether (ETH) (стоимость $3 944,68 на момент написания статьи) за возврат 330 NFT, которое было принято.
Криптоисследователи отметили, что эксплуататоры "вели переговоры добросовестно и позволили нам прийти с ними к разумному решению".
На бесплатном монетном дворе под названием "Плохие парни" были представлены работы "мошенников NFT, случайно оказавшихся на свободе в блокчейне".
Коллекция служит белым списком или предпродажей для членов клуба перед предстоящей осенью коллекцией 10 000 NFT.
Владение Bad Guy NFT предоставляет эксклюзивный доступ к монетному двору, основному дропу RPF и другим предстоящим проектам.
Предупреждения игнорируются
Наблюдательная группа признала, что эксплойт произошел из-за того, что они не прислушались к предупреждениям неизвестного источника о потенциальных недостатках, отправленным за 30 минут до запуска монетного двора.
"После рассмотрения с тремя различными командами разработчиков мы не поверили в достоверность присланной нам информации... Мы явно ошиблись, и нам очень, очень жаль".
Признание своей ошибки - это редкость и ответственность. Браво RPF. Вы заслуживаете похвалы. За последние несколько месяцев я видел токен-контракты с недостатками, плохой код и, начиная со вчерашнего дня, подозрительный код, которым может воспользоваться любой, и ни один из этих разработчиков не сказал то, что вы только что заявили.
- Figs (@CryptoRoog) 2 сентября 2022 г.
Следователь NFT указал на креативное агентство Doxxed Media, занимающееся цифровым блокчейном, которое выполняло все художественные и контрактные работы, и они "не проводили аудит ни нашей командой, ни независимой третьей стороной".
Ирония эксплойта не осталась незамеченной криптосообществом: одни хвалят следователя NFT за признание своей вины, а другие задаются вопросом, как компания, специализирующаяся на выявлении уязвимостей смарт-контрактов, не провела должной проверки собственного проекта.
Я считаю, что очень важно, когда такие проекты, ориентированные на безопасность, как RugPullFinder, взламывают их discord и используют их код, хотя они предлагают именно такие услуги клиентам. Что вы думаете? pic.twitter.com/zJRWUXqic5
- OKHotshot (@NFTherder) 2 сентября 2022 г.
Однако после шаткого начала RPF удалось вернуть проект NFT в нормальное русло.
Посоветовавшись со своим онлайн-сообществом, RPF решила распределить восстановленные NFT по разным местам, включая "хранилище плохих парней", розыгрыш в Twitter и два последующих розыгрыша для проектов, которые являются друзьями Rug Pull Finder, и список коллекций кошельков для публичной продажи Rug Pull Finder.
Источник