L’équipe de développement d’AkuDreams bloque 33 millions de dollars en raison d’un bogue de contrat intelligent
Le projet très attendu de jetons non fongibles (NFT) Akutars a été entaché à la fois d’un exploit et d’un bogue ce week-end, provoquant le verrouillage à jamais de plus de 11 500 Ether (ETH), d’une valeur de près de 33 millions de dollars, dans un contrat intelligent, inaccessible même au développement équipe.
L’exploit, cependant, a été mené par quelqu’un essayant de montrer une vulnérabilité dans le projet et de ne pas voler des fonds via un piratage.
Le projet a été mis en ligne vendredi avec une vente aux enchères néerlandaise, un type d’enchères où le prix baisse jusqu’à ce qu’il reçoive une offre, la première offre remportant la vente tant que le prix est supérieur à la réserve.
L’enchère s’est ouverte à 3,5 ETH avec seulement 5 495 des 15 000 NFT disponibles à vendre et le contrat intelligent prévu pour rembourser tous les soumissionnaires qui ont été sous-enchéris. Les détenteurs d’un « Aku Mint Pass » ont également bénéficié d’une réduction de 0,5 ETH sur chaque NFT frappé.
Le bogue de 33 millions de dollars
Dans un samedi Twitter fil de discussion expliquant le bogue énorme de 33 millions de dollars, 0xInuarashi, un développeur de plusieurs projets NFT, a expliqué que le contrat intelligent d’Akutars était codé de sorte que les remboursements aux soumissionnaires devaient d’abord être traités avant que l’équipe ne puisse retirer des fonds.
Le Contrat avait une mise en garde qu’un nombre minimum d’offres devait être faite avant de permettre à l’équipe de se retirer, mais le nombre minimum d’offres a été fixé pour être égal au nombre de NFT disponibles aux enchères.
Malheureusement, en raison du fait que certains acheteurs frappent plusieurs NFT dans la même offre, les termes du contrat signifient qu’il ne se débloquera jamais, scellant pour toujours les près de 33 millions de dollars en ETH.
Cointelegraph a contacté l’équipe d’Akutars pour un commentaire mais n’a pas immédiatement obtenu de réponse.
L’exploit
Dans un tweet maintenant supprimé posté par les Akutars qui a été partagé par le développeur DeFi foobar, il a déclaré que les développeurs les avaient avertis que leur contrat pourrait être exploité, mais semblaient les ignorer complètement car ils qualifiaient l’exploitation potentielle de « fonctionnalité ».
L’équipe AkuDreams a prétendu qu’il s’agissait d’une fonctionnalité, et non d’un exploit, lorsque plusieurs développeurs ont soulevé des inquiétudes avant la menthe. Justifications bizarres. pic.twitter.com/cVgEXnnWzF
– foobar (@0xfoobar) 23 avril 2022
Pendant la menthe, un individu inconnu a exécuté ce qu’on appelle un « contrat de deuil », qui a verrouillé la capacité du contrat Akutars à traiter les remboursements à ceux qui sous-enchérissent. L’individu même embarqué un message sur la blockchain à l’équipe d’Akutars disant qu’ils arrêteraient le contrat :
« Eh bien, c’était amusant, je n’avais aucune intention d’exploiter ce lol. Sinon, je n’aurais pas utilisé Coinbase. Une fois que vous aurez reconnu publiquement que l’exploit existe, je supprimerai le blocage immédiatement.
Akutars alors rapidement a répondu en prenant la responsabilité du code et a suggéré que l’exploit « n’était pas fait par malveillance » et que la personne « avait l’intention d’attirer l’attention sur les meilleures pratiques pour les projets très visibles ».
Mise à jour rapide (entrera plus en détail dès que possible):
1. L’exploit dans le contrat n’a pas été fait par malveillance; la personne destinée à attirer l’attention sur les meilleures pratiques pour les projets très visibles et les nouveaux mécanismes. Ils ont débloqué l’exploit rapidement après que nous ayons creusé et pris possession
— Aku :: Akutars (@AkuDreams) 23 avril 2022
Dans un tweet le même jour, le fondateur du projet et ancien joueur de baseball professionnel Micah Johnson offert des excuses à la communauté, notant qu’après les avoir laissé tomber, il « continuera à construire brique par brique » et travaillera sans relâche pour éviter que des problèmes similaires n’avancent.
L’équipe a également déclaré qu’elle émettrait des remboursements de 0,5 ETH aux détenteurs de laissez-passer et qu’elle larguerait le NFT aux soumissionnaires retenus.
Les erreurs qui ont été commises ne coûtent plus cher à personne qu’à moi. J’ai presque tout réinvesti dans la construction d’Aku.
& presque tout reviendra aux remboursements et nous continuerons à construire ce que nous avons décidé de faire.
Brique par brique. https://t.co/vQiPbl0Jpl
—Micah Johnson (@Micah_Johnson3) 23 avril 2022
Dans une mise à jour publiée dimanche, l’équipe a déclaré qu’elle avait réécrit son contrat de frappe qui a ensuite été audité par plusieurs développeurs et prévoit de frapper lundi.
Lié: Un pirate informatique gâche l’exploit DeFi : un contrat de 1 million de dollars volé est prêt à s’autodétruire
Cet article a été mis à jour, le titre passant de « 34 millions de dollars » à « 33 millions de dollars ».