比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

FUND:驚現低級漏洞?簡析NFT項目Akutar資金鎖定事件_g9tro Crowdfunding Platform

Author:

Time:1900/1/1 0:00:00

2022年4月23日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。#1事件相關信息

4月23日消息,Solidity開發者foobar發推稱,11539ETH被永久鎖定在AkuDreams合約中,個人用戶或開發團隊都無法取出資金。退款處理完成后,將每個出價狀態設置為1。因此,用戶無法調用emergencyWithdraw()。此外,團隊也無法領取資金,基本上等于銷毀。

Coinbase在上幣路線圖中新增HNT、VET與VTHO:6月29日消息,Coinbase公告稱,已在上幣路線圖中添加Solana網絡上Helium代幣HNT、原生資產VeChain代幣VET、VeThor代幣VTHO。Coinbase此前決定,為提高資產透明度,將提前公布已決定上線的資產,并移至路線圖。[2023/6/29 22:07:10]

成都鏈安技術團隊立刻進行了分析。漏洞合約:0xf42c318dbfbaab0eee040279c6a2588fa01a961d#2漏洞分析

Akutar項目的智能合約包含2個漏洞:漏洞一:

1.第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款。2.而這里使用了call函數進行退款操作,且把退款的結果作為require的判定條件。

MicroStrategy創始人:查理·芒格沒有花時間研究比特幣:金色財經報道,Microstrategy創始人Michael Saylor針對查理·芒格近日呼吁美國禁止加密貨幣一事發表評論表示,如果查理是南美、非洲或亞洲的商業領袖,花費100個小時來研究這個問題,那么他會比我更看好比特幣,西方的精英們還沒有時間去研究它。

此前報道,MicroStrategy周四發布的四季度財報顯示,該公司在第四季度就其持有的比特幣計入了1.976億美元的減值費用,持有的比特幣總數為132,500 枚。[2023/2/4 11:46:58]

Curve Finance:已解決網站漏洞,將指導用戶撤銷近期合約:金色財經報道,自動化做市商 Curve Finance 在 Twitter 上警告用戶其網站存在漏洞,不過 curve.exchange 交易所似乎沒有受到攻擊的影響,因為它使用了不同的域名系統 (DNS) 提供商。

Curve指出,DNS 服務器提供商 Iwantmyname 很可能被黑客入侵并補充說他們已經更改了其域名服務器,目前該問題已得到解決,將指導用戶撤銷近期合約。(cointelegraph)[2022/8/10 12:14:34]

3.因此如果此時有攻擊者在隊列中進行退款操作,調用call退款給攻擊者時,攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里,從而導致隊列后面的所有人都無法進行退款。

Boba Network Global Virtual Hackathon結果公布:據官方消息, Boba Network Global Virtual Hackathon最終獎勵名單在全球開發者激勵平臺DoraHacks正式公布。活動共計吸引了來自全球84個BUIDL團隊參與,在NFT、GameFi、DeFi、Infra & Tooling、教育/創意內容及其他應用場景進行開發。經過專業評選,最終有12個提交項目獲得獲獎,共享100,000美金總獎池。[2022/7/26 2:38:29]

4.這個漏洞被人在鏈上證明有效,但隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用,且公開進行了申明。

漏洞二:

該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。1.在claimProjectFunds函數中,該函數主要用于項目方提款。為了避免項目方權限過大,在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款,所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說,是沒有問題的。然而,在具體的代碼實現中,當前的代碼容易受到漏洞一的影響,導致項目方無法提款,不過這只是潛在的風險,本次資金鎖死的元兇不是這個原因。2.注意函數中第620行代碼:require此處refundProgress表示已經處理了多少個用戶的退款,totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT,導致單從數值上比較,refundProgress可能小于totalBids。

而再來看看退款函數processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶,refundProgress永遠不會高于bidIndex。

此時來看看bidIndex的值,為3669:

totalBids的值為5495:

3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立,最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比,開發者犯了一個很低級的錯誤。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。#3總結

針對本次事件,成都鏈安技術團隊建議:1.開發者應具備基本的安全開發意識,熟悉智能合約開發應注意的安全問題;2.在合約設計和實現時,注意代碼實現的正確性,項目上線前,可選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:FUNDUNDFUNPROg9tro Crowdfunding PlatformFUNDZ幣RefundTokenBribe Protocol

抹茶交易所
BOR:「無聊猿」BAYC主題餐廳長啥樣?跟著我們去探店_Mirrored ProShares VIX

Odaily星球日報譯者|Moni 四月初,一家名為“Bored&Hungry”的主題餐廳開張了.

1900/1/1 0:00:00
DAO:DAOrayaki:DAO、鄧巴數和網絡效應以及治理應該注意什么_SHIBDAO價格

DAO是DecentralizedAutonomousOrganizations的縮寫,是一種組織人類企業的新穎方式,為成員提供更多自由,減少組織障礙,允許貢獻者的流動來去.

1900/1/1 0:00:00
NFT:肖颯:深度解讀互金等三協會發布的「關于防范NFT相關金融風險的倡議」_小比特幣圖片大全

相關閱讀 中國互金協會等三大金融協會發布關于防范NFT相關金融風險的倡議2022年4月13日中國互聯網金融協會、中國銀行業協會、中國證券業協會發布《關于防范NFT相關金融風險的倡議》.

1900/1/1 0:00:00
NFT:?盤點14個Binance Labs第4季孵化計劃入圍項目_https://etherscan.io

此前,BinanceLabs宣布啟動第4季孵化計劃,被選中的項目有機會獲得BinanceLabs提供的初始資金投資以及項目發展的多方面支持.

1900/1/1 0:00:00
元宇宙:深度剖析NFT市場新金字塔:「元宇宙生態」Yuga Labs獨占王座_AKONG幣

撰文:0xCookie,律動BlockBeats經過一年多的發展,NFT市場,這個交易量超過500億美元的全新領域,已經有了足夠多的項目樣本.

1900/1/1 0:00:00
NFT:MetaFriends:NFT2.0的時代探索_META

NFT賽道分析 回首2021,無疑是NFT賽道里程碑式的一年,它像一場風暴,以迅雷不及掩耳的態勢席卷了全球。從藝術品、游戲道具、到社交頭像、甚至球場上的精彩時刻,任何東西都能搭上NFT的順風車.

1900/1/1 0:00:00
ads