Allinstation Một đợt ra mắt dự án NFT trên Ethereum rất được mong đợi vào thứ Sáu vừa qua đã trở cực kỳ tồi tệ khi những sai sót trong hợp đồng thông minh của dự án đã khiến lượng ETH trị giá 34 triệu USD bị khoá lại và không thể nào truy cập được.
Lần ra mắt này là của dự án Akutars, một dự án NFT dạng “hình đại diện” 3D và phiên bản mới nhất dựa trên Aku, một nhân vật gốc được tạo ra từ ý tưởng của cựu cầu thủ Major League Baseball Micah Johnson. Nhân vật là một cậu bé da đen có ước mơ trở thành phi hành gia, được truyền cảm hứng bởi một câu hỏi trong đời thực do cháu trai của Johnson đặt ra.
25 MINUTES!!
? The Akutar Sale Begins at 4:30
PM EST ?Drop Link ?: https://t.co/A4sK9YoNk9 pic.twitter.com/csGvhV23VB
— Aku ??? Akutars (@AkuDreams) April 22, 2022
Dự án Akutars bao gồm 15,000 NFT với các đặc điểm ngẫu nhiên về trang phục, màu sắc và phông nền. Vào thứ Sáu vừa qua, dự án đã mở bán 5.500 NFT thông qua phương thức Đấu giá Hà Lan (Dutch Auction) bắt đầu từ 3.5 ETH (khoảng 10.350 đô la vào thời điểm đó) và giảm dần.
Tuy nhiên khi đợt mở bán được ra mắt, một người dùng Twitter có tên “Hasan” đã cảnh báo về một vấn đề trong hợp đồng thông minh – vấn đề mà anh đã được các nhà phát triển của dự án Aku đảm bảo rằng đã có sẵn các phương pháp dự phòng để ngăn chặn vấn đề này.
people think i did this for the fud, the clout
there was a gas griefing vulnerability in the contract, not sure if anyone exploited but i have posted a PoC since its over now.https://t.co/6GxvvGb59z
— hasan (@notchefbob) April 22, 2022
Dù vậy, theo một bài đăng của nhà phát triển Ethereum 0xInuarashi, lỗ hổng được nghi ngờ này đã bị khai thác bởi một người nào đó với cái tên “USER221”, làm tạm dừng cả việc rút Ethereum và hoàn lại tiền từ hợp đồng thông minh.
This was the order of transactions made by the hacker
Which resulted to be white-hat, and decided to release the funds ?…
⚠️ Then a new different bug appeared? 5/6 pic.twitter.com/PDQHT3BiFt
— CaptainDefi.eth ?? (@CaptainDefi2) April 23, 2022
Sau khi thất bại trong việc rút tiền, hacker này đã bỏ cuộc và quyết định trả tiên lại cho dự án đồng thời cảnh báo với đội ngũ Akutars rằng họ cần đầu tư hơn vào bảo mật để tránh khỏi những lỗ hổng dễ bị khai thác như thế này.
Dự án sau đó bắt đầu hoạt động trở lại, nhưng sau đó một lỗi khác xuất hiện. Như chủ đề của 0xInuarashi mô tả, một lỗ hổng trong mã hợp đồng thông minh của nhà phát triển Aku đã không xét tới trường hợp nhiều NFT có thể được đúc ra trong cùng một giao dịch, khiến cho việc rút tiền không thể thực hiện được dưới bất kỳ hình thức nào.
https://t.co/A9lobVZC3p
34 Million USD gone. Just like that. Locked in the contract forever.A lot of people put light on the grieving which locked processRefunds() for a bit, that was the first exploit.
Luckily that was unlocked, but funds are still locked forever. How?
? 1/
— 0xInuarashi (@0xInuarashi) April 23, 2022
Kết quả cuối cùng là 11,539 ETH – trị giá khoảng 34 triệu USD – bị khóa trong hợp đồng thông minh tự động, có vẻ như sẽ bị mắc kẹt vĩnh viễn. Người sáng tạo của Aku sẽ không thể rút bất kỳ khoản tiền nào từ việc bán NFT và chủ sở hữu NFT Akutar Mint Pass NFT không thể nhận được khoản tiền 0.5 ETH hoàn lại như dự kiến.
#2: We are still investigating why project funds are locked. To be clear this is our fault. Tons of devs came in and helped out from discussing, to including @_MouseDev and @NftDoyler stepping in and issuing refunds to our community via the contract.
— Aku ??? Akutars (@AkuDreams) April 23, 2022
Sau cùng, đội ngũ phát triển của Aku tuyên bố sẽ hoàn trả lại 0.5 ETH cho những người sở hữu Akutar Pass thông qua các khoản tiền được rút từ quỹ riêng của các đợt bán NFT Aku trước đó và vẫn sẽ chuyển tới cho người mua NFT thông qua một hợp đồng thông minh mới, riêng biệt.
Update:
.5E Refunds for Pass Holders
– Will be honored
– ETA: Monday/Tuesday
– Why? Bank opens Monday. Money from Chapter treasury will be used.Akutars
– Will be airdropped
– Auditing contract to ensure accuracy
– ETA: Sunday– Wait for the official Akutar OpenSea link
— Aku ??? Akutars (@AkuDreams) April 23, 2022
Đây sẽ là một bài học quý giá dành cho các dự án đang dự định khởi chạy, cần phải xem xét kỹ lưỡng và kiểm toán hợp đồng thông minh của họ trước khi đưa vào triển khai.