En un giro irónico, Rug Pull Finder (RPF), un organismo de control de tokens no fungibles (NFT) centrado en identificar el fraude basado en Web3, ha sido víctima de una explotación de contrato inteligente propia.
Según la publicación del investigador de NFT en Twitter el 2 de septiembre, dos personas explotaron una falla técnica en el proyecto durante la etapa de acuñación gratuita: robaron 450 NFT de los 1221 posibles que estaban destinados a limitarse a uno por billetera.
Como se discutió hoy en nuestro espacio de Twitter:
Nos equivocamos. Nos equivocamos mucho. Nuestro contrato tenía una falla que permitía que 2 personas obtuvieran más de 450 NFT.
Esto es lo que estamos haciendo para solucionarlo.
– Buscador de alfombras (@rugpullfinder) 2 de septiembre de 2022
Según RPF, su contrato inteligente tenía una falla que vio el código explotado, lo que permitió a los bandidos asignar más del número permitido de NFT.
El equipo de RPF tomó medidas para rectificar la situación poco después del exploit, ofreciendo a una de las personas involucradas un trato para pagarles una recompensa de 2.5 Ether (ETH) (con un valor de $ 3,944.68 en el momento de escribir este artículo) para recuperar 330 de los NFT, que Fue aceptado.
Los criptoinvestigadores señalaron que los explotadores “negociaron de buena fe y nos permitieron llegar a una solución razonable con ellos”.
La menta gratuita, titulada “Bad Guys”, presentaba obras de arte de NFT “estafadores que accidentalmente soltaron en la cadena de bloques”.
La colección sirve como lista blanca o preventa para los miembros antes de la próxima colección de 10,000 NFT este otoño.
Tener un NFT de Bad Guy brinda acceso exclusivo a la menta, la caída principal de RPF y otros proyectos futuros.
Advertencias ignoradas
El grupo de vigilancia admitió que el exploit ocurrió porque no prestaron atención a las advertencias de una fuente desconocida sobre las fallas potenciales enviadas 30 minutos antes de que la casa de la moneda entrara en funcionamiento.
“Después de revisarlo con tres equipos de desarrollo diferentes, no creíamos en la credibilidad de la información que nos enviaron… Estábamos claramente equivocados y lo lamentamos mucho, de verdad”.
Admitir un desastre es raro y responsable. Bravo RPF. Usted es digno de elogio. En los últimos meses, he visto contratos de token con fallas, código incorrecto y, a partir de ayer, código sospechoso para que cualquiera pueda aprovecharlo y ninguno de esos desarrolladores dijo lo que ustedes acaban de decir.
— Higos (@CryptoRoog) 2 de septiembre de 2022
El investigador de NFT señaló que la agencia creativa de blockchain digital Doxxed Media manejó todo el arte y el trabajo por contrato, y “no hicieron que nuestro equipo lo auditara, ni un tercero independiente”.
La comunidad criptográfica no ha pasado por alto la ironía del exploit, y algunos elogiaron al investigador de NFT por admitir su culpa, mientras que otros cuestionaron cómo una empresa especializada en detectar vulnerabilidades de contratos inteligentes no realizó las comprobaciones adecuadas en su propio proyecto. .
Creo que es preocupante cuando los proyectos enfocados en la seguridad como RugPullFinder logran que se rompa su discordia y se explote su código, pero ofrecen exactamente esos servicios a los clientes. ¿Qué piensas? pic.twitter.com/zJRWUXqic5
— OKHotshot (@NFTherder) 2 de septiembre de 2022
Sin embargo, después del comienzo inestable, RPF ha logrado volver a encarrilar su proyecto NFT.
Relacionado: ¿Cómo eliges tu próximo NFT? la comunidad responde
A través de consultas con su comunidad en línea, RPF ha decidido distribuir los NFT recuperados en una variedad de espacios, incluso en “Bad Guys Vault”, una rifa en Twitter y dos rifas más para proyectos que son amigos de Rug Pull Finder y el Lista de colección de carteras de venta pública de Rug Pull Finder.