Le très attendu projet de token non fongible (NFT) Akutars a été entaché d'un exploit et d'un bug ce week-end. Plus de 11 500 Ether (ETH), d'une valeur de près de 33 millions de dollars, ont ainsi été bloqués à jamais dans un contrat intelligent, inaccessible même à l'équipe de développement.
L'exploit, cependant, a été mené par quelqu'un qui essayait de montrer une vulnérabilité dans le projet et non de voler des fonds via un piratage.
Le projet a été mis en ligne vendredi avec une enchère hollandaise, un type d'enchère où le prix baisse jusqu'à ce qu'il reçoive une offre, la première offre remportant la vente tant que le prix est supérieur à la réserve.
L'enchère a débuté à 3,5 ETH, avec seulement 5 495 des 15 000 NFT disponibles à la vente, et le contrat intelligent a été configuré pour rembourser les enchérisseurs qui ont été sous-enchéris. Les détenteurs d'un « Aku Mint Pass » ont également bénéficié d'une réduction de 0,5 ETH sur chaque NFT frappé.
Le bug des 33 millions de dollars
Dans un message publié samedi sur Twitter pour expliquer le bug de 33 millions de dollars, 0xInuarashi, un développeur de plusieurs projets NFT, a expliqué que le contrat intelligent d'Akutars était codé de telle sorte que les remboursements aux enchérisseurs devaient d'abord être traités avant que l'équipe puisse retirer des fonds.
Le contrat prévoyait qu'un nombre minimum d'offres devait être fait avant de permettre à l'équipe de retirer des fonds, mais le nombre minimum d'offres était égal au nombre de NFT disponibles pour les enchères.
Malheureusement, en raison du fait que certains acheteurs ont frappé plusieurs NFT dans la même offre, les termes du contrat signifient qu'il ne sera jamais déverrouillé, scellant ainsi les quelque 33 millions de dollars en ETH pour toujours.
Cointelegraph a contacté l'équipe d'Akutars pour un commentaire, mais n'a pas obtenu de réponse pour le moment.
L'exploit
Dans un tweet, aujourd'hui supprimé, posté par les Akutars et partagé par le développeur de DeFi, foobar, il est dit que les développeurs les ont contactés pour les avertir que leur contrat pouvait être exploité, mais ils ont semblé les ignorer complètement en qualifiant l'exploitation potentielle de « fonctionnalité ».
The AkuDreams team pretended that this was a feature, not an exploit, when multiple developers raised concerns prior to mint. Bizarre justifications. pic.twitter.com/cVgEXnnWzF
— foobar (@0xfoobar) April 23, 2022
L'équipe d'AkuDreams a prétendu qu'il s'agissait d'une fonctionnalité, et non d'un exploit, lorsque de multiples développeurs ont fait part de leurs inquiétudes avant que la menthe ne soit émise. Des justifications bizarres. pic.twitter.com/cVgEXnnWzF. - foobar (@0xfoobar) 23 avril 2022.
Au cours de la frappe, un individu inconnu a exécuté ce que l'on appelle un « contrat de griefing », qui a verrouillé la capacité du contrat Akutars à traiter les remboursements à ceux qui ont sous-enchéri. L'individu a même intégré un message sur la blockchain à l'intention de l'équipe Akutars pour lui dire qu'il allait arrêter le contrat :
« Eh bien, c'était amusant, je n'avais pas l'intention de l'exploiter réellement lol. Sinon, je n'aurais pas utilisé Coinbase. Une fois que vous aurez reconnu publiquement que l'exploit existe, je retirerai le blocage immédiatement. »
Akutars a alors rapidement répondu en assumant la responsabilité du code et a suggéré que l'exploit « n'a pas été fait par malice » et que la personne « avait l'intention d'attirer l'attention sur les meilleures pratiques pour les projets très visibles ».
Quick Update (will go into more detail asap):
— Aku :: Akutars (@AkuDreams) April 23, 2022
1. The exploit in the contract was not done out of malice; the person intended to bring attention to best practices for highly visible projects & novel mechanics. They unblocked the exploit quickly after we dug in and took ownership
Mise à jour rapide (je donnerai plus de détails dès que possible) : 1. L'exploit dans le contrat n'a pas été fait par malveillance ; la personne avait l'intention d'attirer l'attention sur les meilleures pratiques pour les projets très visibles et les nouvelles mécaniques. Ils ont débloqué l'exploit rapidement après que nous ayons creusé et pris la responsabilité. - Aku : : Akutars (@AkuDreams) 23 avril 2022.
Dans un tweet publié le même jour, le fondateur du projet et ancien joueur de baseball professionnel Micah Johnson a présenté ses excuses à la communauté, indiquant qu'après les avoir laissés tomber, il allait « continuer à construire brique par brique » et travailler sans relâche pour éviter tout problème similaire à l'avenir.
L'équipe a également déclaré qu'elle rembourserait 0,5 ETH aux détenteurs de pass et qu'elle remettrait le NFT aux enchérisseurs retenus.
The mistakes that were made are no more costly to anyone than myself. I’ve reinvested most everything into building Aku.
— Micah Johnson (@Micah_Johnson3) April 23, 2022
& most everything will go back to refunds and we will keep building what we set out to do.
Brick by brick. https://t.co/vQiPbl0Jpl
Les erreurs commises ne sont pas plus coûteuses pour quiconque que pour moi-même. J'ai réinvesti presque tout dans la construction de Aku. & la plupart de tout retournera aux remboursements et nous continuerons à construire ce que nous avons entrepris de faire. Brique par brique. https://t.co/vQiPbl0Jpl. - Micah Johnson (@Micah_Johnson3) Le 23 avril 2022.
Dans une mise à jour publiée dimanche, l'équipe a déclaré avoir réécrit son contrat de minage qui a ensuite été vérifié par plusieurs développeurs et prévoit de monnayer lundi.
À lire également : Un hacker a raté un exploit avec DeFi : Il laisse un contrat d'un million de dollars qu'il a volé s'autodétruire
Cet article a été mis à jour, le titre passant de « 34 millions de dollars » à « 33 millions de dollars ».