" Долгожданный проект NFT Akutars был омрачен эксплойтом и ошибкой на выходных, в результате которых более 11 500 Ethereum (ETH) на сумму почти 33 миллиона долларов были навсегда заблокированы в смарт-контракте, недоступном даже для команды разработчиков.
Однако эксплойт был осуществлен кем-то, кто пытался показать уязвимость в проекте, а не украсть средства с помощью взлома.
Проект был запущен в пятницу, 22 апреля. Он начался с голландского аукциона, типа торгов, на которых цена снижается до тех пор, пока не будет получена ставка, при этом первая ставка выигрывает продажу, пока цена выше резерва.
Аукцион открылся на уровне 3,5 ETH, и только 5495 из доступных 15 000 NFT были выставлены на продажу, а смарт-контракт был настроен на возврат средств всем участникам торгов, предложившим заниженную ставку. Владельцам «Aku Mint Pass» также была предоставлена скидка 0,5 ETH на каждый отчеканенный NFT.
Ошибка на 33 миллиона долларов
В ветке Twitter от 23 апреля, объясняющей колоссальную ошибку в 33 миллиона долларов, 0xInuarashi, разработчик нескольких проектов NFT, объяснил, что смарт-контракт Akutars был закодирован таким образом, что возврат средств участникам торгов должен был быть обработан сначала, прежде чем команда сможет вывести какие-либо средства.
В контракте была оговорка о том, что должно быть сделано минимальное количество ставок, прежде чем это позволит команде отказаться, но минимальное количество ставок было установлено равным количеству NFT, доступных для аукциона.
К сожалению, из-за того, что некоторые покупатели выпускают несколько NFT в рамках одной заявки, условия контракта означают, что он никогда не будет разблокирован, что навсегда запечатает почти 33 миллиона долларов в Ethereum.
Эксплойт
В уже удаленном твите, опубликованном Akutars, которым поделился разработчик DeFi foobar, говорится, что другие разработчики связались с ними, предупредив, что их контракт может быть атакован, но, похоже, полностью проигнорировали предупреждение, назвав потенциальную уязвимость «функцией».
«Команда AkuDreams сделала вид, что это функция, а не эксплойт, когда несколько разработчиков выразили обеспокоенность перед выпуском. Странные оправдания», - написал foobar.
Во время чеканки неизвестное лицо заключило так называемый «контракт огорчения», который заблокировал возможность контракта Akutars обрабатывать возмещение тем, кто занижал ставку. Этот человек даже внедрил в блокчейн сообщение для команды Akutars, в котором говорилось, что они прекратят действие контракта:
«Ну, это было весело, я не собирался использовать это, лол. В противном случае я бы не использовал Coinbase. Как только вы, ребята, публично признаете, что эксплойт существует, я немедленно сниму блокировку», - написал он.
Затем Akutars быстро отреагировал, взяв на себя ответственность за код, и предположил, что эксплойт «был сделан не по злому умыслу», а человек «намеревался привлечь внимание к лучшим практикам для широко известных проектов».
В твиттере в тот же день основатель проекта и бывший профессиональный бейсболист Мика Джонсон принес извинения сообществу, отметив, что после того, как подвел их, он «продолжит строить по кирпичику» и неустанно работать, чтобы избежать любых подобных проблем в будущем.
Команда также заявила, что будет возвращать 0,5 Ethereum держателям пропусков, а также раздавать NFT успешным участникам торгов.
«Совершенные ошибки никому не обойдутся дороже, чем мне. Я реинвестировал почти все в создание Aku и почти все подлежит возмещению, но мы продолжим строить то, что намеревались сделать. По кирпичику», - написал Мика Джонсон.
В обновлении, опубликованном в воскресенье, 24 апреля, команда сообщила, что переписала свой контракт на чеканку, который затем был проверен несколькими разработчиками, и планирует выпустить чеканку в понедельник 25 апреля.
На ту же тему: Хакер не смог забрать $1 млн после эксплоита DeFi-протокола Zeed.
