Dans une tournure ironique, Rug Pull Finder (RPF), un organisme de surveillance des tokens non fongibles (NFT) qui se concentre sur l'identification des fraudes basées sur Web3, a été victime d'un exploit de contrat intelligent.

Selon le message publié par le RPF sur Twitter le 2 septembre, deux personnes ont exploité une faille technique dans le projet au cours de la phase de frappe libre, volant 450 NFT sur les 1 221 possibles qui étaient censés être limités à un par portefeuille.

« Comme discuté sur notre Twitter plus tôt aujourd'hui, nous avons foiré. Nous avions fait une grosse erreur. Notre contrat comportait une faille qui a permis à deux personnes de s'approprier plus de 450 NFT. Voici ce que nous faisons pour réparer cela » a annoncé Rug Pull Finder (@rugpullfinder) le 2 Septembre 2022.

Selon RPF, leur contrat intelligent avait une faille qui permettait d'exploiter le code, permettant aux bandits de s'allouer plus que le nombre autorisé de NFT.

L'équipe de RPF a pris des mesures pour rectifier la situation peu après l'exploit, en proposant à l'une des personnes impliquées de lui verser une prime de 2,5 ethers (ETH), d'une valeur de 3 944,68 dollars au moment de la rédaction, pour récupérer 330 des NFT. Un compromis qui a été accepté.

L'équipe de RFP a également ont noté que les hackers « ont négocié de bonne foi et nous ont permis d'arriver à une solution raisonnable avec eux. »

Le mint gratuit, intitulé « Bad Guys», présentait des œuvres d'art de NFT « des escrocs lâchés accidentellement sur la blockchain. »

La collection sert de liste blanche ou de prévente pour les membres avant la prochaine collection de 10 000 NFT cet automne.

La détention d'un Bad Guy NFT donne un accès exclusif au mint, au Main Drop du FPR et à d'autres projets à venir.

Avertissements ignorés

Le groupe de surveillance a admis que l'exploit s'est produit parce qu'il n'a pas tenu compte des avertissements d'une source inconnue concernant la faille, qui ont été envoyés 30 minutes avant la mise en ligne du mint.

« Après l'avoir examinée avec trois équipes de développement différentes, nous n'avons pas cru à la crédibilité des informations qui nous ont été envoyées... Nous avions clairement tort, et nous sommes vraiment, vraiment désolés », a déclaré RPF.

Admettre une erreur est rare et responsable. Bravo RPF. Vous devez être félicité. Ces derniers mois, j'ai vu des contrats de token avec des failles, du mauvais code et, depuis hier, du code suspect dont tout le monde peut profiter, et aucun de ces développeurs n'a dit ce que vous venez de déclarer. - Figs (@CryptoRoog) 2 septembre 2022.

L'enquêteur de la NFT a désigné l'agence de création de blockchain numérique Doxxed Media comme ayant géré tout le travail artistique et contractuel, et a admis qu'elle « n'a pas fait l'objet d'un audit par notre équipe, ou par une tierce partie indépendante.»

L'ironie de l'exploit n'a pas échappé à la communauté de la cryptomonnaie, certains félicitant l'enquêteur du NFT pour avoir admis sa faute, tandis que d'autres se sont demandé comment une entreprise spécialisée dans la détection des vulnérabilités des contrats intelligents n'a pas effectué les vérifications appropriées sur son propre projet.

Je pense que c'est inquiétant quand des projets de sécurité comme RugPullFinder voient leur discord violé et leur code exploité alors qu'ils offrent ces mêmes services aux clients. Qu'en pensez-vous ? pic.twitter.com/zJRWUXqic5 - OKHotshot (@NFTherder) 2 septembre 2022.

Après des débuts difficiles, le RPF a réussi à remettre son projet NFT sur les rails.

À lire également : Comment choisissez-vous votre prochain NFT ? La communauté répond

Après consultation de sa communauté en ligne, RPF a décidé de distribuer les NFT récupérés dans divers espaces, notamment dans le « Bad Guys Vault», une tombola sur Twitter, et deux autres tombolas pour des projets amis de Rug Pull Finder et la liste de collection de portefeuilles de vente publique de Rug Pull Finder.