Tim pengembang AkuDreams mengunci $33 juta karena bug kontrak pintar

Proyek nonfungible token (NFT) yang sangat dinantikan Akutars dirusak oleh exploit dan bug pada akhir pekan, menyebabkan lebih dari 11.500 Ether (ETH ), bernilai hampir $33 juta, untuk dikunci selamanya dalam smart contract, bahkan tidak dapat diakses oleh tim pengembangan.

Eksploitasi, bagaimanapun, dilakukan oleh seseorang yang mencoba menunjukkan kerentanan dalam proyek dan tidak mencuri dana melalui peretasan.

Proyek ini ditayangkan pada hari Jumat dengan Lelang Belanda, sejenis lelang di mana harga diturunkan hingga menerima penawaran, dengan penawaran pertama memenangkan penjualan selama harga di atas cadangan.

Lelang dibuka pada 3,5 ETH dengan hanya 5.495 dari 15.000 NFT yang tersedia untuk dijual dan kontrak pintar ditetapkan untuk mengembalikan uang penawar yang di bawah tawaran. Pemegang “Aku Mint Pass” juga diberikan diskon 0,5 ETH untuk setiap NFT yang dicetak.

Bug $33 juta

Di Twitter hari Sabtubenang menjelaskan bug kekalahan $33 juta, 0xInuarashi, pengembang beberapa proyek NFT, menjelaskan kontrak pintar Akutars diberi kode sehingga pengembalian uang kepada penawar harus diproses terlebih dahulu sebelum tim dapat menarik dana apa pun.

Itukontrak memiliki peringatan bahwa jumlah minimum penawaran harus dibuat sebelum memungkinkan tim untuk mundur, tetapi jumlah minimum penawaran ditetapkan sama dengan jumlahNFT tersedia untuk dilelang .

Sayangnya, karena beberapa pembeli mencetak beberapa NFT dalam penawaran yang sama, ketentuan kontrak berarti itu tidak akan pernah dibuka, menyegel hampir $33 juta dalam ETH selamanya.

Cointelegraph menghubungi tim Akutars untuk memberikan komentar tetapi tidak segera mendapat tanggapan.

Eksploitasi

Dalam tweet yang sekarang sudah dihapusdiposting oleh Akutars yang dibagikan oleh foobar pengembang DeFi, dikatakan bahwa pengembang menghubungi mereka untuk memperingatkan bahwa merekakontrak dapat dieksploitasi tetapi tampaknya mengabaikan mereka sepenuhnya karena mereka menyebut potensi mengeksploitasi sebagai "fitur".

Tim AkuDreams berpura-pura bahwa ini adalah fitur, bukan eksploit, ketika banyak pengembang menyampaikan kekhawatiran sebelum pencetakan. Pembenaran yang aneh.pic.twitter.com/cVgEXnnWzF

— foobar (@0xfoobar)23 April 2022

Selama pencetakan, seseorang yang tidak dikenal mengeksekusi apa yang dikenal sebagai "kontrak berduka", yang mengunci kemampuan kontrak Akutars untuk memproses pengembalian dana kepada mereka yang melakukan underbid. Individu bahkantertanam pesan di blockchain ke tim Akutars yang mengatakan mereka akan menghentikan kontrak:

“Yah, ini menyenangkan, tidak ada niat untuk benar-benar mengeksploitasi lol ini. Kalau tidak, saya tidak akan menggunakan Coinbase. Setelah kalian secara terbuka mengakui bahwa eksploit itu ada, saya akan segera menghapus blokir tersebut.”

Akutars kemudian segeramenanggapi oleh  mengambil tanggung jawab atas kode dan menyatakan bahwa eksploit "tidak dilakukan karena kedengkian" dan orang tersebut "bermaksud untuk memberikan perhatian pada praktik terbaik untuk proyek yang sangat terlihat".

Pembaruan Cepat (segera akan membahas lebih detail):

1. Eksploitasi dalam kontrak tidak dilakukan karena kedengkian; orang yang dimaksudkan untuk memberikan perhatian pada praktik terbaik untuk proyek & mekanik baru. Mereka membuka blokir eksploit dengan cepat setelah kami menggali dan mengambil kepemilikan

— Aku :: Akutars (@AkuDreams) 23 April 2022

Dalam sebuah tweet di hari yang sama, pendiri proyek dan mantan pemain bisbol pro Micah Johnsonditawarkan permintaan maaf kepada komunitas, mencatat bahwa setelah mengecewakan mereka, dia akan "terus membangun bata demi bata" dan bekerja tanpa lelah untuk menghindari masalah serupa di masa mendatang. 

Tim juga mengatakan bahwa mereka akan mengeluarkan pengembalian uang 0,5 ETH kepada pemegang pass serta mengirimkan NFT ke penawar yang berhasil.

Kesalahan yang dibuat tidak lebih mahal bagi siapa pun selain diri saya sendiri. Saya telah menginvestasikan kembali hampir semuanya untuk membangun Aku.

& kebanyakan semuanya akan kembali ke pengembalian uang dan kami akan terus membangun apa yang ingin kami lakukan.

Bata demi bata.https://t.co/vQiPbl0Jpl

— Micah Johnson (@Micah_Johnson3)23 April 2022

Dalam pembaruan yang diposting pada hari Minggu, tim mengatakan sudahditulis ulang kontrak pencetakannya yang kemudian diaudit oleh beberapa pengembang dan rencananya akan dicetak pada hari Senin.

Terkait:Peretas mengacaukan eksploitasi DeFi: Meninggalkan $ 1 juta yang dicuri dalam kontrak yang ditetapkan untuk dihancurkan sendiri

Artikel ini telah diperbarui, dengan judul berubah dari “$34M” menjadi “$33M”.