Кража NFT Шрёдингера
Геймифицированное искусство в форме NFT - первое в своем роде.
В этой закрученной истории переплетаются несколько миров. Теория игр, искусство, ценности и преступления в одном эксперименте, замешанные на деградировавшей квантовой механике.
SuperMassive разыграла Биткоин благодаря принципу суперпозиции.
Однако, неожиданный конец всем доказал, что есть много способов содрать шкуру с кота Шрёдингера.
Так что же это было? Удачный эксперимент или замаскированная цифровая кража?
Концовка открыта для интерпретаций (Копенгагенской или любой другой).
Создатели проекта закрылись за стеной молчания после его неожиданного завершения, несмотря на активный прогрев и подготовительные работы.
Неопределенность была умышленной (эксперимент назывался «The Rug Pull». Но никто не ожидал, что код взломают и базовые правила игры будут нарушены.
Вот как были представлены правила игры:
Есть 12 NFT. На первый взгляд они одинаковые. В одном из этих NFT спрятан Биткоин. **Вы не знаете, в каком из них находится Биткоин. Но вы можете это выяснить, открыв NFT. Так вы узнаете, содержит этот NFT биткоин или нет.
Однако, как только вы это сделаете, статус вашего NFT станет видимым, независимо от того, содержит он BTC или нет.
Есть 1 шанс из 12, что у вас есть биткоин. И есть 11 шансов из 12, что у вас его нет.
Стоит ли идти на риск и заглядывать внутрь? Стоит ли оно того, если Биткоин продается по $10K? А если по $100K?
Любой из 11 остальных игроков, владеющих NFT, могут выдернуть ковер у вас из-под ног, открыв свой NFT. Если кто-то найдет Биткоин, то цена остальных NFT упадет. С другой стороны, они могут открыть свой NFT и Биткоина там не будет. Тогда стоимость остальных NFT вырастет.
12 не взаимозаменяемых токенов (NFT) были проданы на аукционе за $65К (оплата произведена в $MEME). Цена колебалась от $4080 до $8400 за штуку, что в сравнении с ценой BTC на тот момент (~$18,450) составило маржу в ~250%.
№ NFT | $MEME заплачено | ВЛАДЕЛЕЦ |
---|---|---|
NFT 70 | 21.50 | 0x196A3Dc8446920Cef0f0d1f6Bf7Ba5b40702C79f |
NFT 71 | 23.12 | 0xca768c37ba6EC3d67bE7B47bbE1F1C94CA216f46 |
NFT 72 | 21.50 | 0x6f9BB7e454f5B3eb2310343f0E99269dC2BB8A1d |
NFT 73 | 35.01 | 0xf305F90B19CF66fC2D038f92a26440B66cF858F6 |
NFT 74 | 33.00 | 0xCb28f90dCAb551f9FC17aFDd85a09495a87F078E |
NFT 75 | 25.00 | 0xcbc7d0Ff51D37b60ba741bF566496BBa53b5eea2 |
NFT 76 | 22.00 | 0x8B6250bAB1A60232e4154aB1F2EE7f5DF2A9C151 |
NFT 77 | 35.00 | 0xb7fD6B9183fbb8aBb2A3066C41770635Babc433F |
NFT 78 | 29.00 | 0x6f9BB7e454f5B3eb2310343f0E99269dC2BB8A1d |
NFT 79 | 20.00 | 0x4F50d47D20380172746527bbeAa274940C38EFAC |
NFT 80 | 17.00 | 0x6f9BB7e454f5B3eb2310343f0E99269dC2BB8A1d |
NFT 81 | 25.00 | 0x1d5E65a087eBc3d03a294412E46CE5D6882969f4 |
Самой разумной тактикой для владельцев NFT было бы не открывать статус своего токена, а просто хранить его. Цена NFT логически должна всегда составлять 1/12 от цены BTC.
Robin (SuperMassive):_ Это конкретный пример дилеммы заключенного.__ Наилучший выход для всех владельцев - это НЕ заглядывать внутрь._
Но что если у вас нет необходимости заглядывать внутрь?
Что если у игрока была возможность нарушить правила и выбрать местоположение призового NFT?
В конечном итоге код взломали и хакер мог извлечь призовой биткоин из любого из 12 NFT.
Некоторые из незадачливых игроков обратились в Rekt. Они не только считают, что эксперимент был неудачным, но и заявляют, что создатели пытались скрыть случившееся.
Служба безопасности rekt связалась с экспертами по NFT из BlackPool и попросила их помочь нам в нашем расследовании.
В день проведения аукциона (11 ноября) пользователь под ником Rstudios появился в Discord с сообщением. Rstudios никак не связан с MEME; у его кошелька есть история, он связан с другими проектами NFT его можно отследить на OpenSea.
После аукциона он написал: Месяц спустя (26 декабря) код взломали.
Вот обзор соответствующих транзакций за тот день.
1) RStudios приобрел один NFT у пользователя y_kymin за 13,000 DAI. 2) Совершив цепочку транзакций, он извлек WBTC.
ТРИ 3) RStudios слил пустой NFT за 1.7 ETH и ушел в закат с 1WBTC и прибылью 1.7 ETH, минус 13,000 DAI, которые он заплатил на NFT. Rstudios не нужно было угадывать, в каком NFT был приз. Он/она просто купил один NFT на вторичном рынке (предварительно сбив цену), а затем выдернул ковер из-под ног остальных игроков.
Похоже, что ему пришлось потратить на подготовку атаки несколько дней. По его же словам, «это было нелегко».
То, что он потом продал пустой NFT, подлило масла в огонь в полемику вокруг атаки. Но отдадим ему должное - он предлагал выкупить его. Несмотря на то, что некоторые участники считают эксперимент неудавшимся, создатели утверждают, что все прошло так, как и предполагалось.
Поэтому мы поймали себя на мысли, что задаем себе один и тот же вопрос...
Здесь несправедливый конец или взломы кода - это уже часть игры?
rekt побеседовал с Robin, который работает в другом новостном проекте, чтобы выяснить это.
rekt:
Привет, Робин, спасибо, что согласился поговорить с нами.
Прошла всего неделя после завершения эксперимента «rug pull».
Тебе понравился конец?
Robin:
Ха-ха, вопрос на миллион! Смотря что вы называете экспериментом. Rug Pull был не просто аукционом с последующей игрой в NFT. Это был целый спектакль с элементами медиатизированной сюжетной линии вокруг идей жадности и доверия.
Но что верно, то верно. То, каким образом в итоге забрали биткоин скорее похоже на сырой и преждевременный конец наших планов.
Целью игры было давить на участников и заставить их бороться с собственной жадностью. Но один из 12 владельцев продал свой NFT за небольшую сумму и разорвал сформировавшийся круг слабенького доверия. Это доказало лишь то, что мы и так знаем, что крепость цепи определяется её самым слабым звеном.
В данном случае кто-то очень быстро схватил деньги и бросился бежать. Я упоминал в оригинальном промо-видео, что такой сценарий возможен. Насколько можно было действительно доверять другим владельцам NFT? Выгоднее всего было объединиться. Но мне очень хотелось, чтобы было больше давления из-за Биткоина, чтобы все это действительно заиграло.
Поэтому я не разочарован, но я чувствую, что из этой истории действительно могло получиться что-то гораздо более интересное. По крайне мере, мы однозначно ответили на вопрос, что стоит больше: искусство или криптовалюта, которая в нем содержится. В данном случае крипта оказалась более желанным призом. Это грустно, но не неожиданно.
rekt:
Rstudios смог извлечь биткоин из NFT так, чтобы об этом никто не узнал.
Что бы произошло, если бы он не объявил, что забрал биткоин?
Robin:
Хороший вопрос.
Нам повезло, что хакеры тщеславны и любят, когда люди знают, какие они умные.
Внесем ясность, я не писал код контрактов и не разрабатывал механизм игры. Можно сколько угодно мечтать, но мы вынуждены работать на условиях параметров сети.
Я не ответил на ваш вопрос.
Скорее всего, ничего бы не произошло, пока владелец NFT не открыл бы его. Потом, наверное, началась бы ругань, пошли обвинения, страх, неуверенность, сомнения и вся эта обычная заваруха. Затем я бы, скорее всего, продал что-нибудь, чтобы купить биткоин в качестве компенсации. Это бы значительно подняло мой социальный рейтинг и показало всем, что я хороший парень.
Или какая-то фигня в этом роде. Я не знаю. Вы порядки знаете, это же крипто-тусовка. В любом случае результат был бы позитивным. Даже если я не знаю, как бы сработал механизм лотереи.
rekt:
Было очень много рекламы перед запуском эксперимента, а концовка была тихой.
Если вы допускали такой вариант развития событий, то почему не опубликовали пост-мортем или заключительное официальное заявление?
Robin:
“Допускали вариант развития событий” звучит так, как будто мы думали, что кто-то мог взломать код таким способом. Но это не так.
По сути, мы знали, что NFT будут мишенью. Но мы надеялись на то, что создание интереса и атмосферы эксперимента вокруг предмета искусства вытеснит все это и де факто повысит его ценность и привлекательность.
Вы понимаете, о чем я? Даже если вы понимаете, что могли бы взломать, вы не станете этого делать.
Я опирался на эту идею с самого начала. Я раскрыл свои приватные ключи и позволил людям забрать мои токены. Почти все вернули их мне, кроме одного человека, который не входил в группу.
Эксплоит случился в очень неподходящий для меня момент. После того года, что нам выдался, я поставил криптовалюты на паузу и посвятил время своей семье. Я планировал выпустить статью на The Defiant в качестве эпилога. Но потом вы со мной связались. Тогда я подумал, что ваша площадка лучше подходит, чтобы закрыть эту тему.
Другое дело, что эту историю все считают законченной.
Но это не так. NFT продолжают существовать, есть сообщество, и я не думаю, что на этом можно поставить точку. Было тяжело начинать этот год, но я и команда Meme хотели бы написать новую главу. У нас еще не было возможности собраться и обсудить, что бы это могло быть.
В конечном счете, мы обещали rug pull, и так и получилось.
rekt:
Хакер открыто предупредил об уязвимости за месяц до эксплоита.
По вашему мнению, к его словам отнеслись с достаточной серьезностью?
Robin:
Смотря с какой стороны посмотреть. Есть большая разница между тем, чтобы написать сообщение в дискорде и связаться с командой в частном порядке для обсуждения.
Не знаю, читаете ли вы каждое сообщение в каждом из социальных приложений, которыми вы пользуетесь. Я точно нет.
К сожалению, команда его не заметила. Но если бы хакер был заинтересован в том, чтобы помочь команде исправить уязвимость, он бы указывал на нее поактивнее.
В конце концов, у него есть отличное алиби в виде отписки, и я прекрасно понимаю причину его уклончивости. Мы не занялись этим, потому что не увидели сообщение. Я не думаю, что нужно винить в этом команду.
rekt:
Этот эксперимент стал совершенно новой концепцией. Он продолжался не долго, но все же дал нам понятие о возможностях для креатива, которые дает нам цифровая редкость.
Какое ваше самое дальновидное предсказание о будущем NFT?
Robin:
Мне кажется абсолютно безумным проект SOCKS. Люди покупают NFT, которые представляют собой реальные носки. Они им даже никогда не будут принадлежать, но они могут спекулировать на волатильности.
Конечно, это всего лишь финансовые деривативы. Но это понятие может распространиться на абсолютно все, и все может стать NFT. Абсолютно каждому предмету в мире можно подобрать цифрового двойника в мета вселенной. И вот здесь появляются действительно сумасшедшие идеи в плане производства, поставок, устойчивости и так далее.
Цифровая мода кажется мне самым зрелым сектором, готовым к большому скачку в 2021 году. Ваш аватар в Инстаграме приобретает большую важность, чем вещи, которые вы носите в реальности. Теперь мы можем использовать цифровую марку, чтобы обозначить свою идентичность перед группой без необходимости поддерживать фабрики по производству пота.
Я не сильно углублялся в размышления об NFT и их будущем. Но я знаю, что там есть над чем поразмыслить. И я счастлив, что я один из тех, кто с этим экспериментирует.
rekt:
Спасибо, что уделили нам время, Робин. Есть ли еще что-то, что бы вы хотели сказать нашим читателям?
Robin:
Не впрягайтесь во что-то, чего вы не понимаете. Этот год будет сумасшедшим, но вы должны держать рассудок холодным.
Они пообещали сделать rug pull, и так и случилось.
Мы всегда призываем наших читателей мыслить нестандартно и изучать все возможности интересующего их вопроса. Даже если это кажется неправдоподобным, нет никаких доказательств, что здесь все не было подстроено кем-то изнутри. Не членом команды. Но может быть кем-то, имеющим отношение к проекту...
Команда MEME очень насторожена в последнее время. Возможно, не без оснований...
Код мог бы быть защищен получше. Тем не менее, это больше похоже на провалившийся эксперимент, чем на полную некомпетентность.
Можно понять, почему некоторые игроки недовольны тем, как все вышло. В некотором роде, такое сложнее принять, чем более серьезные атаки.
Это как считать карты на детской покерной вечеринке. Технически правила это не нарушает, но определенно испортило праздник нескольким ни в чем не повинным людям, которые просто хотели попробовать что-то новое.
REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.
Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Дисклеймер:
REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.
Вам также понравится...
Манки бизнес
Всего за один год Bored Ape Yacht Club вырос из нишевого проекта NFT в целую экосистему и мейнстримное средство демонстрации капитала. Рост BAYC не останавливался, но недавний минт коллекции Otherdeeds был далек от совершенства. Что ждет BAYC дальше?
ДАО Treasure - REKT
Йо-хо-хо, кое-кто прибрал к рукам награбленное в Treasure DAO. NFT стоимостью в ~$1.4M были украдены с крупнейшей NFT-площадки в сети Arbitrum, оставив соперника OpenSea на мели.
Проект JayPegs Automart - REKT
Голубая фишка оказалась rekt в результате атаки на внешний интерфейс. Напомните-ка нам, какая часть крипты вроде как должна быть "бездоверительной"? Доверие, оказанное не тому человеку, стоило (временно) MISO $3.1 миллиона.