Разработчик заключи $33 милиона поради грешка в смарт договора

Дългоочакваният проект за незаменими токени (NFT) Akutars беше засегнат както от експлойт, така и от бъг през уикенда, което доведе до това над 11,500 етера (ETH), на стойност близо $33 милиона, да бъдат заключени завинаги в рамките на смарт договор, недостъпен дори за екипа разработчици.

Експлойтът обаче е извършен от някой, който се опитва да покаже уязвимост в проекта, а не да открадне средства чрез хак.

Проектът стартира в петък с холандски търг, вид търг, при който цената се понижава, докато не получи оферта, като първата оферта печели продажбата, стига цената да е над резервната.

Търгът започна при 3.5 ETH, като само 5,495 от наличните 15,000 NFT са пуснати за продажба и смарт договора е настроен да възстанови сумата на всички участници, които са загубили наддаването. Притежателите на “Aku Mint Pass” също получиха отстъпка от 0.5 ETH за всеки издаден NFT.

Бъг в размер на $33 милиона

В поредица от съобщения в Twitter за огромната грешка, която струваше $33 милиона, 0xInuarashi, разработчик на множество NFT проекти, обясни, че смарт договора на Akutars е кодиран така, че заявките за възстановяване на средствата на участниците в търга трябва да бъдат обработени първо, преди екипът да може да изтегли каквито и да било средства.

НЕ ИЗПУСКАЙ: Голям удар за XRP инвеститорите – делото срещу SEC се проточва до 2023 г.

Договорът имаше предупреждение, че трябва да се направят минимален брой оферти, преди да позволи на екипа да тегли средства, но минималният брой оферти беше определен да е равен на количеството NFT, налични за търга.

За съжаление, поради факта, че някои купувачи копаят множество NFT в рамките на една и съща оферта, условията на договора означават, че никога няма да се отключи, запечатвайки почти $33 милиона в ETH завинаги.

Експлoйта

Във вече изтрит туит, публикуван от Akutars, споделен от DeFi разработчика ‘foobar‘, се казва, че разработчиците са се обърнали към тях, предупреждавайки ги, че договорът им може да бъде експлоатиран, но изглежда, че са ги пренабрегнали напълно, тъй като определят потенциалната експлоатация като “функция”.

The AkuDreams team pretended that this was a feature, not an exploit, when multiple developers raised concerns prior to mint. Bizarre justifications. pic.twitter.com/cVgEXnnWzF

— foobar (@0xfoobar) April 23, 2022

По време на самия ‘минт‘ неизвестно лице изпълни това, което е известно като “griefing договор“, който заключи способността на договора Akutars да обработва възстановявания на средства на тези, които са дали по-ниска цена. Лицето дори вгради съобщение в блокчейна до екипа на Akutars, че ще спре договора:

Е, това беше забавно, нямах намерение всъщност да го експлоатирам. Иначе нямаше да използвам Coinbase. След като вие, момчета, публично признаете, че експлойтът съществува, веднага ще премахна блока.

След това Akutars реагира незабавно, като пое отговорност за кода и предположи, че експлойтът “не е направен от злоба” и лицето “възнамерява да привлече вниманието към най-добрите практики за силно видими проекти“.

Quick Update (will go into more detail asap):

1. The exploit in the contract was not done out of malice; the person intended to bring attention to best practices for highly visible projects & novel mechanics. They unblocked the exploit quickly after we dug in and took ownership

— Aku :: Akutars (@AkuDreams) April 23, 2022

В туит в същия ден основателят на проекта и бивш професионален бейзболист Мика Джонсън поднесе извинение на общността, отбелязвайки, че след като ги подведе, той “ще продължи да строи тухла по тухла” и ще работи неуморно, за да избегне подобни проблеми в бъдеще.

ПРОЧЕТИ ОЩЕ: Биткойн (BTC) изглежда ‘подценен’, твърди анализатор

Екипът също така каза, че ще издаде 0.5 ETH на притежателите на пропуски, както и ще изпрати NFT на успешните участници в наддаването.

The mistakes that were made are no more costly to anyone than myself. I’ve reinvested most everything into building Aku.

& most everything will go back to refunds and we will keep building what we set out to do.

Brick by brick. https://t.co/vQiPbl0Jpl

— Micah Johnson (@Micah_Johnson3) April 23, 2022

В актуализация, публикувана в неделя, екипът каза, че е пренаписал своя договор за изсичане на токени, който след това беше одитиран от няколко разработчици.