Команда Yuga Labs отозвала смарт-контракт, который позволял ей выпустить неограниченное количество NFT коллекции Bored Ape Yacht Club (BAYC), через год после первого обещания сделать это.
tx in question: https://t.co/fmLjnFapvb— EmperorTomatoKetchup (@TomatoBAYC) June 7, 2022
"Держатель контракта теперь сожжен. Мы хотели этого в течение долгового времени, но не делали из соображений безопасности. Чувствуем себя комфортно, выполнив это", — написал сооснователь проекта под ником EmperorTomatoKetchup.
В доказательство он раскрыл транзакцию, которой разработчики удалили возможность эмиссии.
Про проблему команде Yuga Labs напомнили специалисты медиа-платформы Blockworks:
"Как сообщают, один закрытый ключ может выпустить бесконечное число Bored Ape".
A single private key can reportedly mint an infinite number of new Bored Apes pic.twitter.com/t30homR1wg— Blockworks (@Blockworks_) June 5, 2022
В случае взлома кошелька владельца это давало возможность злоумышленникам наводнить рынок токенами, обрушив цену. На момент написания самый дешевый BAYC на маркетплейсе OpenSea оценивают в 69,69 ETH (~$126 835), самый дорогой — в 18 880 ETH (~$34,4 млн).
Впервые пользователи обратили внимание, что в коде BAYC заложена возможность выпуска NFT сверх заявленных 10 000 токенов, в июне 2021 года.
"Спасибо, мы только что говорили об этом. Очевидно, мы не собираемся никогда больше вызывать эту функцию и намерены отозвать право владения в ближайшие пару дней", — ответила тогда команда проекта.
Hey thanks, we were just talking about this. Obviously, we're never going to call that function again and we're planning on revoking ownership in the next day or two.— Bored Ape Yacht Club (@BoredApeYC) June 2, 2021
Обещание они выполнили только 7 июня 2022 года.
За три дня до этого хакеры взломали Discord-серверы проекта и разместили в каналах коммуникации фишинговые ссылки.
В марте злоумышленники совершили аналогичную успешную атаку на Instagram-аккаунт Bored Ape Yacht Club.
Напомним, в феврале журналистка BuzzFeed деанонимизировала двух из четырех сооснователей NFT-коллекции под псевдонимами GordonGoner и Gargamel. Кто скрывается под никами EmperorTomatoKetchup и NoSass, неизвестно.
