Çok beklenen NFT projesi Akutars, hafta sonu görülen yazılım hatası ve güvenlik zafiyeti nedeniyle epey sorun yaşadı. Neredeyse 33 milyon dolar değerinde 11.500 Ether (ETH), geliştirici ekibinin dahi erişemediği bir akıllı sözleşmeye kilitlendi.
Güvenlik açığını hack yoluyla para çalmaya çalışan değil, projedeki zafiyeti göstermek isteyen biri ortaya serdi.
Proje, cuma günü açık eksiltme yoluyla satışa çıktı. Toplamda 15 bin NFT'den oluşan koleksiyonun yalnızca 5.495'i, 3,5 ETH tavan fiyattan satışa çıktı. Düşük teklif verenleri reddedecek bir akıllı sözleşme de oluşturuldu. "Aku Mint Pass" sahiplerine de ürettikleri her bir NFT için 0,5 ETH indirim yapıldı.
33 milyon dolarlık hata
Birden fazla NFT projesinin geliştiricisi 0xInuarashi, 33 milyon dolarlık yazılım hatasını açıkladığı gönderi dizisinde Akutars'ın akıllı sözleşmesinin, teklifi reddedilenlere verilecek iadelerin ekip tarafından çekilemeden işlenecek şekilde kodlandığını açıkladı.
Sözleşmede ekibin çekim yapabilmesi için verilmesi gereken bir minimum teklif sayısı olduğu şerhi bulunuyor. Minimum teklif sayısı ise müzayedede satışa çıkarılacak NFT miktarına denk belirlendi.
Ne var ki bazı alıcıların aynı tekliften birden fazla NFT üretmesi, sözleşmenin hiçbir zaman kilitlenmeyeceği ve 33 milyon doların sonsuza kadar kilitlendiği anlamına geliyor.
Cointelegraph, Akutars ekibiyle iletişime geçmeye çalıştı fakat yanıt alamadı.
Güvenlik zafiyeti
Akutars'ın DeFi geliştiricisi foobar tarafından paylaşılan silinmiş gönderisine göre, geliştiriciler sözleşmenin istismar edilebileceği konusunda ekibe ulaştı, fakat bunun bir "özellik" olduğu yanıtını aldılar ve aldırış edilmediler.
The AkuDreams team pretended that this was a feature, not an exploit, when multiple developers raised concerns prior to mint. Bizarre justifications. pic.twitter.com/cVgEXnnWzF
— foobar (@0xfoobar) April 23, 2022
NFT basımı sırasında kimliği bilinmeyen bir şahıs, Akutars sözleşmesinin düşük teklif verenlerin iadelerini işlemesini engelleyen bir sözleşme uyguladı. İsimsiz şahıs, Akutars blockchain'ine ekip için bir mesaj dahi gömerek sözleşmeyi durduracağını açıkladı:
“Evet, bu eğlenceliydi, gerçekten istismar etmek gibi bir niyetim yoktu. Yoksa Coinbase'i kullanmazdım. Böyle bir zafiyet olduğunu halka açıklarsanız, engeli hemen kaldıracağım."
Akutars ekibi hemen harekete geçerek güvenlik açığının "kötü niyetle kullanılmadığını" ve isimsiz şahsın "son derece göz önünde projeler için en iyi uygulamalara dikkat çekme niyetinde olduğunu" açıkladı.
Quick Update (will go into more detail asap):
— Aku :: Akutars (@AkuDreams) April 23, 2022
1. The exploit in the contract was not done out of malice; the person intended to bring attention to best practices for highly visible projects & novel mechanics. They unblocked the exploit quickly after we dug in and took ownership
Projenin kurucusu Micah Johnson, aynı gün paylaştığı gönderisinde topluluktan özür diledi ve onları yüz üstünde bıraksa da, "adım adım inşa etmeye" devam edeceğini ve gelecekte de benzer sorunların yaşanmaması için yorulmadan çalışacağını belirtti.
Ekip, Mint Pass sahiplerine 0,5 ETH iade yapacaklarını ve teklifi kabul edenlere NFT'leri airdrop yoluyla teslim edeceklerini açıkladı. Ekip, basım sözleşmesinin de yeniden kodlandığını ve geliştiriciler tarafından kontrolden geçirildiğini ekledi.
The mistakes that were made are no more costly to anyone than myself. I’ve reinvested most everything into building Aku.
— Micah Johnson (@Micah_Johnson3) April 23, 2022
& most everything will go back to refunds and we will keep building what we set out to do.
Brick by brick. https://t.co/vQiPbl0Jpl