El esperado proyecto de tokens no fungibles (NFT) Akutars se vio afectado por un exploit y un bug el fin de semana, provocando que más de 11,500 Ether (ETH), valorados en casi USD 33 millones, quedaran bloqueados para siempre dentro de un contrato inteligente, inaccesibles incluso para el equipo de desarrollo.
El exploit, sin embargo, fue realizado por alguien que intentaba mostrar una vulnerabilidad en el proyecto y no robar fondos a través de un hackeo.
El proyecto se puso en marcha el viernes con una subasta holandesa, un tipo de subasta en la que el precio baja hasta que recibe una oferta, y la primera oferta gana la venta siempre que el precio esté por encima de la reserva.
La subasta se abrió a 3.5 ETH con solo 5,495 de los 15,000 NFT disponibles a la venta y el contrato inteligente establecido para reembolsar a los postores que no hayan pujado lo suficiente. Los holders de un «Aku Mint Pass» también recibieron un descuento de 0.5 ETH en cada NFT acuñado.
El bug de USD 33 millones
En un hilo de Twitter del sábado en el que se explicaba el enorme bug de USD 33 millones, 0xInuarashi, un desarrollador de múltiples proyectos de NFT, explicó que el contrato inteligente de Akutars estaba codificado de forma que los reembolsos a los pujadores debían procesarse primero antes de que el equipo pudiera retirar los fondos.
El contrato tenía la advertencia de que había que realizar un número mínimo de pujas antes de que el equipo pudiera realizar el retiro, pero el número mínimo de pujas se fijó para que fuera igual a la cantidad de NFT disponibles para la subasta.
Por desgracia, debido a que algunos compradores acuñaron varios NFT en la misma puja, las condiciones del contrato significan que nunca se desbloqueará, sellando los casi USD 33 millones en ETH para siempre.
Cointelegraph se puso en contacto con el equipo de Akutars para pedirle comentarios al respecto, pero no obtuvo respuesta de inmediato.
El exploit
En un tweet ahora borrado publicado por los Akutars que fue compartido por el desarrollador de DeFi foobar, se decía que los desarrolladores se acercaron a ellos advirtiéndoles que su contrato podría sufrir un exploit, pero parecían minimizarlo, etiquetando el potencial exploit como una «característica».
The AkuDreams team pretended that this was a feature, not an exploit, when multiple developers raised concerns prior to mint. Bizarre justifications. pic.twitter.com/cVgEXnnWzF
— foobar (@0xfoobar) April 23, 2022
El equipo de AkuDreams fingió que esto era una característica, no un exploit, cuando múltiples desarrolladores plantearon sus preocupaciones antes de la acuñación. Justificaciones extrañas.
Durante la acuñación, un individuo desconocido ejecutó lo que se conoce como un «contrato de griefing», que bloqueó la capacidad del contrato de Akutars para procesar los reembolsos a aquellos que pujaron por debajo de lo esperado. El individuo incluso incrustó un mensaje en la blockchain, destinado al equipo de Akutars, diciendo que detendría el contrato:
“Bueno, esto fue divertido, no tenía intención de explotar esto, lol. De lo contrario, no habría utilizado Coinbase. Una vez que ustedes reconozcan públicamente que el exploit existe, eliminaré el bloque inmediatamente.”
Akutars respondió rápidamente asumiendo la responsabilidad por el código, y sugirió que el exploit «no fue hecho por malicia» y que la persona que lo había hecho «tenía la intención de llamar la atención sobre las mejores prácticas para los proyectos altamente visibles.»
Quick Update (will go into more detail asap):
1. The exploit in the contract was not done out of malice; the person intended to bring attention to best practices for highly visible projects & novel mechanics. They unblocked the exploit quickly after we dug in and took ownership
— Aku :: Akutars (@AkuDreams) April 23, 2022
Actualización rápida (entraré en más detalles en breve): 1. El exploit en el contrato no se hizo por maldad; la persona que lo hizo tenía la intención de llamar la atención sobre las mejores prácticas para proyectos muy visibles y mecánicas novedosas. Desbloqueó el exploit rápidamente después de que investigáramos y asumiéramos la responsabilidad.
En un tuit del mismo día, el fundador del proyecto y antiguo jugador de béisbol profesional, Micah Johnson, ofreció una disculpa a la comunidad, señalando que después de defraudarles, «seguirá construyendo ladrillo a ladrillo» y trabajará incansablemente para evitar cualquier problema similar en el futuro.
El equipo también ha dicho que reembolsará 0.5 ETH a los holders de pases y que enviará los NFT a los adjudicatarios.
The mistakes that were made are no more costly to anyone than myself. I’ve reinvested most everything into building Aku.
& most everything will go back to refunds and we will keep building what we set out to do.
Brick by brick. https://t.co/vQiPbl0Jpl
— Micah Johnson (@Micah_Johnson3) April 23, 2022
Los errores que se cometieron no son más costosos para nadie que para mí. He reinvertido casi todo en la construcción de Aku. Y casi todo volverá a los reembolsos y seguiremos construyendo lo que nos propusimos. Ladrillo a ladrillo.
En una actualización publicada el domingo, el equipo dijo que había reescrito su contrato de acuñación, que posteriormente fue auditado por varios desarrolladores y planea acuñarse el lunes.
Este artículo ha sido actualizado, cambiando el titular de » USD 34 millones» a » USD 33 millones».
Los puntos de vista y las opiniones expresadas aquí son únicamente los del autor y no reflejan necesariamente las opiniones de Cointelegraph.com. Todas las inversiones y operaciones implican un riesgo, por lo que debe realizar su propia investigación a la hora de tomar una decisión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.