Dans une tournure ironique, Rug Pull Finder (RPF), un chien de garde de jetons non fongibles (NFT) axé sur l’identification de la fraude basée sur le Web3, a été victime d’un exploit de contrat intelligent qui lui est propre.
Selon le message de l’enquêteur NFT sur Twitter le 2 septembre, deux personnes ont exploité une faille technique dans le projet au cours de l’étape de la menthe gratuite – chapardant 450 NFT sur 1 221 possibles qui devaient être limités à un par portefeuille.
Comme discuté sur notre espace Twitter plus tôt dans la journée –
Nous nous sommes trompés. Nous avons fait une grosse erreur. Notre contrat avait une faille qui permettait à 2 personnes de récupérer plus de 450 NFT.
Voici ce que nous faisons pour y remédier
– Recherche de tapis (@rugpullfinder) 2 septembre 2022
Selon RPF, leur contrat intelligent avait une faille qui a vu le code exploité, permettant aux bandits d’allouer plus que le nombre autorisé de NFT.
L’équipe du RPF a pris des mesures pour rectifier la situation peu de temps après l’exploit, proposant à l’une des personnes impliquées un accord pour leur payer une prime de 2,5 Ether (ETH) (d’une valeur de 3 944,68 $ au moment de la rédaction) pour récupérer 330 des NFT, qui a été accepté.
Les enquêteurs de la cryptographie ont noté que les exploiteurs « ont négocié de bonne foi et nous ont permis de parvenir à une solution raisonnable avec eux ».
La menthe gratuite, intitulée « Bad Guys », présentait des œuvres d’art de NFT « des escrocs lâchés accidentellement sur la blockchain ».
La collection sert de liste blanche ou de prévente pour les membres avant la prochaine collection de 10 000 NFT cet automne.
Tenir un Bad Guy NFT offre un accès exclusif à la menthe, à la baisse principale du RPF et à d’autres projets à venir.
Avertissements ignorés
Le groupe de surveillance a admis que l’exploit s’était produit car il n’avait pas tenu compte des avertissements d’une source inconnue concernant les failles potentielles envoyées 30 minutes avant la mise en ligne de la Monnaie.
« Après l’avoir examiné avec trois équipes de développement différentes, nous n’avons pas cru à la crédibilité des informations qui nous ont été envoyées… Nous nous sommes clairement trompés et nous sommes vraiment, vraiment désolés. »
Admettre un gâchis est rare et responsable. Bravo FPR. Vous êtes à féliciter. Au cours des derniers mois, j’ai vu des contrats symboliques avec des défauts, un mauvais code et, depuis hier, un code suspect dont quiconque peut profiter et aucun de ces développeurs n’a dit ce que vous venez de dire
— Figues (@CryptoRoog) 2 septembre 2022
L’enquêteur de NFT a indiqué que l’agence de création de blockchain numérique Doxxed Media avait géré tout le travail artistique et contractuel, et ils « n’ont pas fait auditer notre équipe, ni un tiers indépendant ».
L’ironie de l’exploit n’a pas échappé à la communauté crypto, certains louant l’enquêteur du NFT pour avoir reconnu sa faute, tandis que d’autres se sont demandé comment une entreprise spécialisée dans la détection des vulnérabilités des contrats intelligents n’avait pas effectué les vérifications appropriées sur son propre projet. .
Je pense que c’est préoccupant lorsque des projets axés sur la sécurité comme RugPullFinder voient leur discorde violée et leur code exploité, mais ils offrent ces services exacts aux clients. Qu’est-ce que tu penses? pic.twitter.com/zJRWUXqic5
— OKHotshot (@NFTherder) 2 septembre 2022
Cependant, après un début chancelant, RPF a réussi à remettre son projet NFT sur les rails.
Lié: Comment choisissez-vous votre prochain NFT ? La communauté répond
En consultation avec leur communauté en ligne, RPF a décidé de distribuer les NFT récupérés dans divers espaces, y compris dans le « Bad Guys Vault », un tirage au sort sur Twitter et deux autres tirages au sort pour des projets amis de Rug Pull Finder et le Liste de collection de portefeuille de vente publique Rug Pull Finder.