Наблюдательный орган НФТ Rug Pull Finder эксплуатирует собственную раздачу НФТ
По иронии судьбы, Rug Pull Finder (RPF), наблюдательная организация, занимающаяся выявлением мошенничества на основе Web3, стала жертвой собственного эксплойта смарт-контракта.
Согласно сообщению исследователя NFT в Твиттере от 2 сентября, два человека воспользовались техническим недостатком проекта на этапе бесплатного майнинга, похитив 450 NFT из возможных 1221, которые должны были быть ограничены одним кошельком.
Как уже обсуждалось сегодня в нашем Твиттере —
Мы облажались. Мы облажались по-крупному. Наш контракт имел недостаток, который позволил двум людям завладеть более чем 450 NFT.
Вот что мы делаем, чтобы исправить это
— Rug Pull Finder (@rugpullfinder) 2 сентября 2022 г.
Согласно RPF, их смарт-контракт имел недостаток, который позволял эксплуатировать код, позволяя бандитам выделять себе больше допустимого количества NFT.
Команда RPF предприняла шаги по исправлению ситуации вскоре после обнаружения эксплойта, предложив одному из участников сделки выплатить им вознаграждение в размере 2,5 Эфира (ETH) (стоимость $3 944,68 на момент написания статьи) за возврат 330 NFT, которое было принято.
Криптоисследователи отметили, что эксплуататоры «вели переговоры добросовестно и позволили нам прийти с ними к разумному решению».
В бесплатном монетном дворе под названием «Плохие парни» были представлены работы NFT «мошенников, случайно выпустивших на свободу блокчейн».
Коллекция служит белым списком или предпродажей для участников перед предстоящей осенью коллекцией 10 000 NFT.
Владение Bad Guy NFT обеспечивает эксклюзивный доступ к монетному двору, основному дропу RPF и другим предстоящим проектам.
Предупреждения игнорируются
Наблюдательная группа признала, что эксплойт произошел из-за того, что они не прислушались к предупреждениям из неизвестного источника об изъяне, которые были отправлены за 30 минут до запуска монетного двора.
«Рассмотрев его с тремя разными командами разработчиков, мы не поверили в достоверность присланной нам информации… Мы были явно неправы, и нам искренне, искренне жаль», — заявили в RPF.
Признание ошибки — это редкость и ответственность. Браво RPF. Вы заслуживаете похвалы. За последние несколько месяцев я видел токен-контракты с недостатками, плохим кодом и, начиная со вчерашнего дня, подозрительным кодом, которым может воспользоваться любой, и ни один из этих разработчиков не сказал то, что вы только что заявили.
— Figs (@CryptoRoog) 2 сентября 2022 г.
Расследователь NFT указал на креативное агентство Doxxed Media, занимающееся цифровым блокчейном, как на компанию, которая занималась всеми художественными работами и контрактами, и признал, что у нее «не было ни нашей команды, ни независимой третьей стороны».
Ирония эксплойта не осталась незамеченной криптосообществом: одни хвалят следователя NFT за признание своей вины, а другие задаются вопросом, как компания, специализирующаяся на обнаружении уязвимостей смарт-контрактов, не провела должной проверки собственного проекта.
Я думаю, что вызывает беспокойство, когда такие проекты, занимающиеся безопасностью, как RugPullFinder, взламывают их дискорд и эксплуатируют их код, но при этом они предлагают клиентам именно такие услуги. Что вы думаете? pic.twitter.com/zJRWUXqic5
— OKHotshot (@NFTherder) 2 сентября 2022 г.
Однако после шаткого начала RPF удалось вернуть свой проект NFT в нужное русло.
Посоветовавшись со своим онлайн-сообществом, RPF решила распределить найденные NFT по разным местам, включая «Хранилище плохих парней», розыгрыш в Twitter и два дальнейших розыгрыша для проектов, которые являются друзьями Rug Pull Finder, и список коллекций кошельков Rug Pull Finder для публичной продажи.