大肆炒作的不可替代代币项目 AkuDreams 在一次利用导致 34 万美元的收益被永久锁定在智能合约中后,开局并不顺利。
据报道,该漏洞背后的黑客试图暴露代码中的漏洞。 该漏洞利用导致超过 11,500 个以太坊(ETH) 开发人员团队无法访问。
该项目于 22 月 3.5 日通过荷兰式拍卖上线,以 5,495 ETH 开盘,在收藏的 15,000 个 NFT 中,有 XNUMX 个 NFT 被挂牌出售。 拍卖的智能合约被编程为退还所有出价低的人。
34万美元永久锁定
根据 NFT 开发者 0xInuarashi 的说法, 聪明的合同 被编程为在团队提取资金之前退还投标人。 但是,代码中的错误引入了漏洞。
https://t.co/A9lobVZC3p
34万美元消失了。 就这样。 永远锁定在合约中。很多人对锁定 processRefunds() 的悲痛有所了解,这是第一个漏洞。
幸运的是,它已解锁,但资金仍被永远锁定。 如何?
? 1/
— 0xInuarashi (@0xInuarashi) 2022 年 4 月 23 日
它还有一个警告,即最低出价数量必须等于可用于拍卖的 NFT 总数,即 5,495。 虽然实际出价的数量不止于此,但问题在于多个买家对多个薄荷糖使用相同的出价。
结果是出价少于可供拍卖的 NFT 总数。 由于这个原因,智能合约中超过 34 万美元的收益被永久锁定,无法提取。
在项目上线之前,各种开发人员就该漏洞向 AkuDreams 发出了警告,但该团队没有注意这些警告。
AkuDreams 团队假装这是一个功能,而不是一个漏洞,当多个开发人员在 mint 之前提出了担忧时。 奇怪的理由。 pic.twitter.com/cVgEXnnWzF
- FOOBAR (@0xfoobar) 2022 年 4 月 23 日
在该团队现已删除的一条推文中,当开发人员伸出手来警告他们时,他们将该错误标记为一项功能。
黑客决定通过执行“恶意合同”来向他们展示漏洞利用不是一项功能。
该合约最初锁定了退还投标人的能力,匿名黑客嵌入了一条链上消息,让他们知道这是一个漏洞。
开发团队回应
AkuDreams 团队承担了责任并扭转了第一个允许退款的漏洞。 然而,第二次利用意味着它无法收回卡在智能合约中的 34 万美元。
快速更新(将尽快详细介绍):
1.合同中的利用并非出于恶意; 该人打算引起人们对高度可见的项目和新颖机制的最佳实践的关注。 在我们深入挖掘并取得所有权后,他们迅速解除了漏洞利用
— Aku :: Akutars (@AkuDreams) 2022 年 4 月 23 日
该项目的创始人 Micah Johnson 已经道歉。 此外,该团队发布了一个更新,指出铸币合同已被重写和审计。 它还承诺退还通行证持有人。
资料来源:https://cryptoslate.com/akudreams-suffer-exploit-locked-out-of-34-million-proceeds-forever/