In un ironico colpo di scena, Rug Pull Finder (RPF), un watchdog di token non fungibili (NFT) che si occupa di identificare le frodi basate sul Web3, ha subito un exploit dei propri smart contract.

Secondo quanto pubblicato da RPF su Twitter il 2 settembre, due persone hanno sfruttato una falla tecnica nel progetto durante la fase di free mint, sottraendo 450 NFT su 1.221 possibili, i quali avrebbero dovuto essere limitati a uno per wallet.

Come discusso nel nostro Twitter space all'inizio della giornata -.

Abbiamo fatto un casino. Abbiamo fatto un grosso pasticcio. Il nostro contract aveva una falla che ha permesso a 2 persone di accaparrarsi oltre 450 NFT.

Ecco cosa stiamo facendo per rimediare

— Rug Pull Finder (@rugpullfinder) September 2, 2022

Secondo RPF, il loro smart contract presentava una falla che permetteva di sfruttare il codice, consentendo ai malintenzionati di assegnare a se stessi un numero di NFT superiore a quello consentito.

Il team di RPF si è mosso per correggere la situazione subito dopo l'exploit, offrendo a una delle persone coinvolte un accordo di 2,5 Ether (ETH) (del valore di 3.944,68 $ al momento in cui scriviamo) per recuperare 330 NFT, offerta che è stata accettata. I cripto investigatori hanno dichiarato che i malintenzionati "hanno negoziato in buona fede e ci hanno permesso di giungere a una soluzione ragionevole con loro".

Il free mint, dal titolo "Bad Guys", comprendeva opere d'arte di "scammer accidentalmente lasciati liberi sulla blockchain". Il mint gratuito serve come whitelist o presale per i membri, in vista della prossima collezione di 10.000 NFT che verrà lanciata in autunno. Il possesso di un NFT Bad Guy garantisce l'accesso esclusivo al mint, al drop principale di RPF e ad altri progetti imminenti.

Avvisi ignorati

Rug Pull Finder ha ammesso che l'exploit si è verificato perché non ha dato retta agli avvertimenti provenienti da una fonte anonima in merito alla vulnerabilità, inviati 30 minuti prima che il mint andasse live.

"A seguito di una revisione con tre diversi team di sviluppatori, non abbiamo creduto alla attendibilità delle informazioni che ci sono state inviate... Ci siamo chiaramente sbagliati e siamo veramente, veramente dispiaciuti", ha dichiarato RPF.

Ammettere un errore è raro e responsabile. Bravo RPF. Siete da lodare. Negli ultimi mesi ho visto contratti di token con difetti, codice scadente e, a partire da ieri, codice sospetto di cui chiunque poteva approfittare e nessuno di questi sviluppatori ha detto quello che voi avete appena dichiarato.

— Figs (@CryptoRoog) September 2, 2022

RPF ha indicato Doxxed Media, agenzia creativa per la blockchain, come responsabile di tutto il lavoro artistico e contrattuale, e ha ammesso che "non è stata sottoposta a verifica da parte del nostro team o di una terza parte indipendente".

L'ironia dell'exploit non è sfuggita alla cripto-community: alcuni hanno lodato Rug Pull Finder per aver ammesso la propria colpa, mentre altri si sono chiesti come una società specializzata nell'individuazione delle vulnerabilità degli smart contract non abbia condotto i dovuti controlli sul proprio progetto.

Penso che sia preoccupante quando progetti attenti alla sicurezza come RugPullFinder vengono violati nel loro discord e il loro codice viene sfruttato, eppure offrono questi stessi servizi ai clienti. Cosa ne pensate? pic.twitter.com/zJRWUXqic5

— OKHotshot (@NFTherder) September 2, 2022

Dopo un inizio traballante, tuttavia, RPF è riuscita a rimettere in piedi il suo progetto NFT. Dopo aver consultato la propria comunità online, RPF ha deciso di distribuire gli NFT recuperati in diversi modi, tra cui il "Bad Guys Vault", una lotteria su Twitter, altre due per progetti amici di Rug Pull Finder e la lista di portafogli registrati per la vendita pubblica.