La collection NFT AkuDreams pris au piège dans un contrat intelligent

AkuDreams est une collection NFT hébergée sur la blockchain Ethereum. La totalité de ses fonds, de 11 539 ETH, liée à la création des pièces de la collection reste bloquée. Effectivement, suite à une mauvaise manipulation d’un développeur, c’est maintenant un contrat intelligent inaccessible. Il s’agit en effet de deux erreurs de codes qui ont conduit à la perte totale de ces Ether.

$34 million, or 11,539 eth, is permanently locked into the AkuDreams contract forever. It cannot be retrieved by individual users or by the dev team.

The refund processing, which is complete, sets each bid status to 1. pic.twitter.com/6GnQPnddC6

— foobar (@0xfoobar) April 23, 2022

Une erreur du projet AkuDream

Le lancement très réussi d’AkuDreams a rapidement viré au fiasco pour l’équipe du projet. La collection d’avatars, qui était très attendue, a été mise aux enchères. Mais à cause de quelques problèmes du code du contrat intelligent, cette collection a subi de gros problèmes.

Les enchères réalisées pour la collection NFT se sont basées sur le modèle appelée « les enchères à la hollandaise ». Dans ce mode de fonctionnement, l’offre la plus basse dans l’enchère va fixer le prix pour tout le monde. Cela signifie que toutes les offres supérieures à l’offre la plus basse doivent rembourser l’offre la plus basse. Bon nombre d’utilisateurs et d’investisseurs ont salué les efforts du projet concernant une véritable méthode d’enchères.

A cause d’un bug dans le smart contrat, 34 millions de dollars, ce qui équivaut à 11 539 ETH sont définitivement perdus pour le projet. Le développeur du contrat intelligent a commis deux erreurs. La première, c’est le fait d’interrompre les remboursements. Celui-ci aurait dû juste freiner l’envoi de requête à partir des autres contrats sur son smart contract AkuDreams. Malgré l’omission de cette action, une personne malveillante a eu la main pour l’envoi de requête de remboursement falsifiée via un contrat malveillant. C’est ce qui a cassé la boucle de remboursement du contrat. Ce dernier permet d’empêcher le retrait des fonds, tant que les remboursements ne seront pas réalisés. Cela a eu l’impact de bloquer le système. De ce fait, la méthode de remboursement n’a pas pu fonctionner correctement.

La seconde erreur commise concerne le stockage des données à l’intérieur d’un index, lui-même relié à l’utilisateur. C’est grâce à ces données d’enchères que les remboursements peuvent s’exécuter. L’implémentation des remboursements s’incrémentent via une variable unique ce qui provoque un delta lorsqu’un utilisateur réalise plusieurs opérations de création. Les remboursements n’ont pas fonctionnés en doublons puisque pour l’index un utilisateur ne pouvait faire qu’une seule action.

La création d’un contrat intelligent

Le déploiement d’un contrat intelligent nécessite la prise en compte de plusieurs facteurs. Avant tout, l’ensemble des contrats intelligents doivent suivre un protocole de test strict. Ces derniers visent d’ailleurs à vérifier les bugs sur un contrat de staking NFT par exemple. Pour mener à bien le déploiement d’un smart contract comme celui d’AkuDreams, il faut :

• Eviter les erreurs de calculs
• Sélectionner le bon contrat
• Réaliser plusieurs tests et s’assurer qu’ils soient concluants
• Eviter de verrouiller des millions de dollars dans un seul contrat
• Garder des liquidités disponibles

En effet, AkuDreams a connu une grande faille qui a bloqué 11 539 ETH ou 34 millions de dollars. Le calcul du nombre d’enchères était faux. C’est ce qui a principalement provoqué l’échec permanent de la validation et ainsi empêcher le retrait des fonds.

Conclusion

La perte de la collection NFT d’AkuDreams vient des erreurs dans le code des contrats intelligents. C’est au total 11 539 ETH qui sont perdus et pris au piège dans le smart contract. Le projet a toutefois promis de rembourser l’ensemble des investisseurs en mettant en avant leurs grossières erreurs.