2022年4月23日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。#1事件相關信息
4月23日消息,Solidity開發者foobar發推稱,11539ETH被永久鎖定在AkuDreams合約中,個人用戶或開發團隊都無法取出資金。退款處理完成后,將每個出價狀態設置為1。因此,用戶無法調用emergencyWithdraw()。此外,團隊也無法領取資金,基本上等于銷毀。
Coinbase在上幣路線圖中新增HNT、VET與VTHO:6月29日消息,Coinbase公告稱,已在上幣路線圖中添加Solana網絡上Helium代幣HNT、原生資產VeChain代幣VET、VeThor代幣VTHO。Coinbase此前決定,為提高資產透明度,將提前公布已決定上線的資產,并移至路線圖。[2023/6/29 22:07:10]
成都鏈安技術團隊立刻進行了分析。漏洞合約:0xf42c318dbfbaab0eee040279c6a2588fa01a961d#2漏洞分析
Akutar項目的智能合約包含2個漏洞:漏洞一:
1.第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款。2.而這里使用了call函數進行退款操作,且把退款的結果作為require的判定條件。
MicroStrategy創始人:查理·芒格沒有花時間研究比特幣:金色財經報道,Microstrategy創始人Michael Saylor針對查理·芒格近日呼吁美國禁止加密貨幣一事發表評論表示,如果查理是南美、非洲或亞洲的商業領袖,花費100個小時來研究這個問題,那么他會比我更看好比特幣,西方的精英們還沒有時間去研究它。
此前報道,MicroStrategy周四發布的四季度財報顯示,該公司在第四季度就其持有的比特幣計入了1.976億美元的減值費用,持有的比特幣總數為132,500 枚。[2023/2/4 11:46:58]
Curve Finance:已解決網站漏洞,將指導用戶撤銷近期合約:金色財經報道,自動化做市商 Curve Finance 在 Twitter 上警告用戶其網站存在漏洞,不過 curve.exchange 交易所似乎沒有受到攻擊的影響,因為它使用了不同的域名系統 (DNS) 提供商。
Curve指出,DNS 服務器提供商 Iwantmyname 很可能被黑客入侵并補充說他們已經更改了其域名服務器,目前該問題已得到解決,將指導用戶撤銷近期合約。(cointelegraph)[2022/8/10 12:14:34]
3.因此如果此時有攻擊者在隊列中進行退款操作,調用call退款給攻擊者時,攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里,從而導致隊列后面的所有人都無法進行退款。
Boba Network Global Virtual Hackathon結果公布:據官方消息, Boba Network Global Virtual Hackathon最終獎勵名單在全球開發者激勵平臺DoraHacks正式公布。活動共計吸引了來自全球84個BUIDL團隊參與,在NFT、GameFi、DeFi、Infra & Tooling、教育/創意內容及其他應用場景進行開發。經過專業評選,最終有12個提交項目獲得獲獎,共享100,000美金總獎池。[2022/7/26 2:38:29]
4.這個漏洞被人在鏈上證明有效,但隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用,且公開進行了申明。
漏洞二:
該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。1.在claimProjectFunds函數中,該函數主要用于項目方提款。為了避免項目方權限過大,在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款,所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說,是沒有問題的。然而,在具體的代碼實現中,當前的代碼容易受到漏洞一的影響,導致項目方無法提款,不過這只是潛在的風險,本次資金鎖死的元兇不是這個原因。2.注意函數中第620行代碼:require此處refundProgress表示已經處理了多少個用戶的退款,totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT,導致單從數值上比較,refundProgress可能小于totalBids。
而再來看看退款函數processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶,refundProgress永遠不會高于bidIndex。
此時來看看bidIndex的值,為3669:
totalBids的值為5495:
3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立,最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比,開發者犯了一個很低級的錯誤。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。#3總結
針對本次事件,成都鏈安技術團隊建議:1.開發者應具備基本的安全開發意識,熟悉智能合約開發應注意的安全問題;2.在合約設計和實現時,注意代碼實現的正確性,項目上線前,可選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
Tags:FUNDUNDFUNPROg9tro Crowdfunding PlatformFUNDZ幣RefundTokenBribe Protocol
Odaily星球日報譯者|Moni 四月初,一家名為“Bored&Hungry”的主題餐廳開張了.
1900/1/1 0:00:00DAO是DecentralizedAutonomousOrganizations的縮寫,是一種組織人類企業的新穎方式,為成員提供更多自由,減少組織障礙,允許貢獻者的流動來去.
1900/1/1 0:00:00相關閱讀 中國互金協會等三大金融協會發布關于防范NFT相關金融風險的倡議2022年4月13日中國互聯網金融協會、中國銀行業協會、中國證券業協會發布《關于防范NFT相關金融風險的倡議》.
1900/1/1 0:00:00此前,BinanceLabs宣布啟動第4季孵化計劃,被選中的項目有機會獲得BinanceLabs提供的初始資金投資以及項目發展的多方面支持.
1900/1/1 0:00:00撰文:0xCookie,律動BlockBeats經過一年多的發展,NFT市場,這個交易量超過500億美元的全新領域,已經有了足夠多的項目樣本.
1900/1/1 0:00:00NFT賽道分析 回首2021,無疑是NFT賽道里程碑式的一年,它像一場風暴,以迅雷不及掩耳的態勢席卷了全球。從藝術品、游戲道具、到社交頭像、甚至球場上的精彩時刻,任何東西都能搭上NFT的順風車.
1900/1/1 0:00:00