Fehler im Code: Gehyptes NFT-Projekt verliert 34 Millionen Dollar
Der Hype war groß, der Launch peinlich: Mit großen Erwartungen ging am 22. April die Akudreams Avatar-Sammlung mit einer NFT-Auktion an den Start. Problem nur: Ein Fehler im Smart-Contract-Code führte dazu, dass das Team nicht auf rund 34 Millionen Dollar zugreifen kann, die im Vertrag enthalten sind. User:innen, die durch das Chaos Geld verloren haben, sollen aber kompensiert werden.
Akudreams ist ein Projekt des Künstlers und ehemaligen MLB-Players Micah Johnson. Inspiriert von seinem vierjährigen Neffen, der ihn gefragt hatte, ob Astronaut:innen auch Schwarz sein können, hatte Johnson seit 2019 einen NFT-basierten Avatar namens Aku kreiert. Im Februar 2022 wurde Aku der Mond-Gott der Öffentlichkeit präsentiert. Innerhalb von Minuten wurden damals 1.400 Exemplare verkauft.
Mit entsprechend großem Interesse wurde daher die NFT-Auktion am 22. April erwartet. Der Startpreis betrug 3,5 Ethereum mit der Prämisse, dass das niedrigste Gebot den endgültigen Preis festlegen würde und jede:r, der ein höheres Gebot abgab, eine Rückerstattung erhalten würde. Akudreams-Pass-Inhaber:innen wurde zudem ein Rabatt von 0,5 Ethereum auf jedes von ihnen gemintete NFT versprochen.
User221 legt Sicherheitslücke offen
Bald nach dem Start kam es jedoch zu einer Komplikation: Aufgrund eines Fehlers im Vertrag konnte ein Exploiter Rückerstattungen und Abhebungen aus dem Vertrag stoppen, sodass Auktionsteilnehmer:innen, die über dem endgültigen NFT-Preis boten, das ihnen zustehende Ethereum nicht erhielten.
Der Exploiter namens User221 wollte allerdings nur auf den Code-Fehler aufmerksam machen und dem Akudreams-Team nicht schaden, wie Krypto-Entwickler:in @0xInuarashi in einem langen Tweet auf Twitter erklärte. Um seine Absichten zu erklären, hatte User221 dem Team eine kurze Botschaft hinterlassen: „Das hat Spaß gemacht. […] Wenn ihr öffentlich zugebt, dass der Fehler existiert, werde ich den Block rückgängig machen.“ Er hielt sein Wort, nachdem das Akudreams-Team am frühen Samstag das Problem auf Twitter bestätigte.
„Um das klarzustellen: Es ist unser Fehler“, hieß es in der Tweet-Ankündigung von Akudreams weiter. Später bestätigte das Team, dass die NFT an die Bieter:innen zurückgegeben werden und es Rückerstattungen für die Inhaber:innen von Pässen, die einen Rabatt von 0,5 Ethereum erhalten haben, vornehmen wird.
34 Millionen Dollar sind gesperrt
Leider war dieser weiße Hack erst der Anfang der Misere. „Ein unglückliches Nebenprodukt […] ist, dass der Vertrag die verbleibenden Funds gesperrt hat. Wir werden nie in der Lage sein, auf sie zuzugreifen.“ Auf Twitter erklärt der User @oxfoobar das Problem.
Bei den gesperrten Funds handelt es sich um 11.539,5 Ether, umgerechnet 34.207.232,22 Millionen US-Dollar. „Die Gelder werden nie wieder auftauchen“, schreibt @oxfoobar weiter. „The burn is real.“
Learnings
Akudreams hat sich seinen Fehler direkt zu Herzen genommen. Am 24. April teilte das Team seinen neuen Minting-Contract öffentlich auf Twitter und rief die Community dazu auf, ihn auf Sicherheitslücken zu testen. Der Vertrag wurde gemeinsam mit @AnonymiceNFT und @_MouseDev entwickelt.
Unter den Anhänger:innen von Akudreams hat der Exploit keine Spuren hinterlassen. Viele meldeten sich in der Folge zu Wort und gaben auf Twitter unter dem Hashtag #weareaku ihren Beistand bekannt.
Die Panne dürfte auch für andere NFT-Projekte eine Lehre sein. „Invest in audits. Invest in security“, ruft der Krypto-Entwickler @0xInuarashi abschließend auf.