El muy publicitado proyecto de fichas no fungibles AkuDreams ha tenido un comienzo difícil después de que un exploit provocó que $ 34 millones en ganancias se bloquearan en un contrato inteligente para siempre.
Según los informes, el hacker detrás del exploit estaba tratando de exponer las vulnerabilidades en el código. El exploit resultó en más de 11,500 Ethereum (ETH) volverse inaccesible para el equipo de desarrolladores.
El proyecto se puso en marcha el 22 de abril mediante una subasta holandesa y se abrió a 3.5 ETH, y se pusieron a la venta 5,495 NFT del total de 15,000 XNUMX NFT de la colección. El contrato inteligente para la subasta estaba programado para reembolsar a todos los que ofertaron menos.
$ 34 millones bloqueados para siempre
Según el desarrollador de NFT 0xInuarashi, el contrato inteligente estaba programado para reembolsar a los postores antes de que el equipo pudiera retirar los fondos. Sin embargo, los errores en el código introdujeron vulnerabilidades.
https://t.co/A9lobVZC3p
34 millones de dólares perdidos. Así. Encerrado en el contrato para siempre.Muchas personas aclararon el duelo que bloqueó processRefunds() por un momento, ese fue el primer exploit.
Afortunadamente, eso estaba desbloqueado, pero los fondos aún están bloqueados para siempre. ¿Cómo?
? 1/
— 0xInuarashi (@0xInuarashi) Abril 23, 2022
También tenía una advertencia de que el número mínimo de ofertas debe ser igual al número total de NFT disponibles para la subasta, que es 5,495. Si bien el número de ofertas reales fue mayor que esto, el problema surgió del hecho de que varios compradores estaban utilizando la misma oferta para varias mentas.
El resultado es que hay menos ofertas que el número total de NFT disponibles para la subasta. Por esta razón, más de $ 34 millones en ganancias en el contrato inteligente están bloqueados para siempre y no se pueden retirar.
Varios desarrolladores advirtieron a AkuDreams sobre la vulnerabilidad antes de que el proyecto se lanzara, pero el equipo no prestó atención a las advertencias.
El equipo de AkuDreams fingió que se trataba de una función, no de un exploit, cuando varios desarrolladores expresaron su preocupación antes de la menta. Justificaciones extrañas. pic.twitter.com/cVgEXnnWzF
- foobar (@ 0xfoobar) Abril 23, 2022
En un tweet ahora eliminado del equipo, etiquetaron el error como una característica cuando los desarrolladores se acercaron para advertirles al respecto.
El hacker decidió mostrarles que un exploit no es una función mediante la ejecución de un "contrato de duelo".
Este contrato bloqueó inicialmente la capacidad de reembolsar a quienes ofrecieron menos, y el pirata informático anónimo incrustó un mensaje en la cadena para informarles que se trataba de un exploit.
Respuesta del equipo de desarrollo
El equipo de AkuDreams asumió la responsabilidad y revirtió el primer exploit para permitir reembolsos. Sin embargo, el segundo exploit significa que no puede recuperar los 34 millones de dólares atascados en el contrato inteligente.
Actualización rápida (entrará en más detalles lo antes posible):
1. La hazaña en el contrato no fue hecha por malicia; la persona tenía la intención de llamar la atención sobre las mejores prácticas para proyectos altamente visibles y mecánicas novedosas. Desbloquearon el exploit rápidamente después de que investigamos y asumimos la propiedad.
— Aku :: Akutars (@AkuDreams) Abril 23, 2022
El fundador del proyecto, Micah Johnson, se ha disculpado desde entonces. Además, el equipo publicó una actualización que indicaba que el contrato de acuñación había sido reescrito y auditado. También prometió reembolsar a los titulares de pases.
Fuente: https://cryptoslate.com/akudreams-suffer-exploit-locked-out-of-34-million-proceeds-forever/