2022年4月23日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,NTF項目方Akutar的AkuAuction合約由于智能合約本身漏洞,導致11539ETH(價值約3400萬美元)被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
1 事件相關信息
4月23日消息,Solidity開發者foobar發推稱,11539ETH(價值3400萬美元)被永久鎖定在AkuDreams合約中,個人用戶或開發團隊都無法取出資金。退款處理完成后,將每個出價狀態設置為1。因此,用戶無法調用emergencyWithdraw()。此外,團隊也無法領取資金,基本上等于銷毀。?
LBank Labs宣布投資NFT utility平臺Furion:據官方消息,LBank Labs宣布投資NFT utility平臺Furion,Furion是一個自由、無需許可的NFT utility平臺,通過將NFT轉換為碎片化ERC20代幣的形式,Furion用戶可以在平臺上自由的買賣部分NFT,以及使用等效的ERC20代幣進行借貸、swapping、做空做多NFT等操作。
LBank Labs 管理資產規模為1億美元,致力于支持和幫助Web3初創企業的發展,為他們提供資源支持,幫助他們在競爭激烈的市場中脫穎而出。[2023/6/22 21:55:04]
LINE推出Profile NFT功能,可將NFT設置為個人資料圖片:7月7日消息,日本即時通訊軟件LINE已開始在體驗版中推出Profile NFT功能,用戶可在NFT市場LINE NFT中將NFT設置為LINE軟件中的個人資料圖片。
此外,LINE將于7月8日發售可設置Profile NFT功能的NFT系列“Profile NFT by Minto”,以配合Profile NFT功能的發布。(Impress Watch)[2022/7/7 1:57:16]
成都鏈安技術團隊立刻進行了分析。
漏洞合約:
0xf42c318dbfbaab0eee040279c6a2588fa01a961d
NFT巨鯨n0b0dy.eth以130 WETH價格購入“無聊猿”BAYC#3438:金色財經報道,據最新數據顯示,NFT 巨鯨 n0b0dy.eth 以 130 WETH 價格購入“無聊猿”BAYC#3438,約合 267,298.56 美元。截止目前,n0b0dy.eth 已持有猿猴系列 NFT 主要包括:22 個“無聊猿”BAYC、24 個“變異猿”MAYC、以及 61 個 Yuga Labs 元宇宙項目 Otherside 虛擬地塊 Otherdeed。[2022/5/18 3:23:40]
Akutar項目的智能合約包含2個漏洞:
漏洞一:
1.第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款。
科銀資本宣布正式投資波卡生態NFT交易平臺NFTMart:4月20日,科銀資本宣布正式投資波卡生態NFT交易平臺NFTMart,同時波卡生態NFT交易平臺NFTMart宣布完成150萬美元私募輪融資;NFTMart基于Substrate開發,是一個去中心化NFT交易市場,由兩個部分組成:第一部分是開放的NFT公有鏈nftmart.network,主要用于發行NFT和鏈上的數據交易;第二部分是nftmart.io,為用戶提供了用戶友好的交易方案,使用戶可以方便快捷地創建或交易NFT。科銀資本早在2018年開始布局NFT,此次對NFTMart的正式投資代表著科銀資本在NFT賽道的又一重要布局,接下來科銀資本將不斷賦能NFTMart,為平臺帶來更多傳統IP和優質資源;助推藝術與科技聯合,重塑加密文化產業新生態。[2021/4/20 20:39:50]
2.而這里使用了call函數進行退款操作,且把退款的結果作為require的判定條件。
3.因此如果此時有攻擊者在隊列中進行退款操作,調用call退款給攻擊者時,攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里,從而導致隊列后面的所有人都無法進行退款。
4.這個漏洞被人在鏈上證明有效,但隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用,且公開進行了申明。
漏洞二:
該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。
1.在claimProjectFunds函數中,該函數主要用于項目方提款。為了避免項目方權限過大,在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款,所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說,是沒有問題的。然而,在具體的代碼實現中,當前的代碼容易受到漏洞一的影響,導致項目方無法提款,不過這只是潛在的風險,本次資金鎖死的元兇不是這個原因。
2.注意函數中第620行代碼:require (refundProgress > = totalBids)此處refundProgress表示已經處理了多少個用戶的退款,totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT,導致單從數值上比較,refundProgress可能小于totalBids。
而再來看看退款函數processRefunds中:require(_refundProgress < _bidIndex); bidIndex表示所有參與競標的用戶,refundProgress永遠不會高于bidIndex。
此時來看看bidIndex的值,為3669:
totalBids的值為5495:
3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立,最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比,開發者犯了一個很低級的錯誤。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。
Tags:NFTPROESSUNDI will poop it NFTALL.ART protocolguesscoinCompound Basic Attention Token
金色熱搜榜:CVC居于榜首:根據金色財經排行榜數據顯示,過去24小時內,CVC搜索量高居榜首。具體前五名單如下:CVC、CVT、ELF、XTZ、MANA.
1900/1/1 0:00:002022年即將過去4個月,人們還在苦等第一個國漫爆款。然而,國漫領域的頭部IP們,已經把他們的觸手伸向了新的領域——數字藏品.
1900/1/1 0:00:00本文將盤點當前NFT借貸賽道的代表項目及其運作方式,看看有哪些協議能有效釋放流動性,分食金融衍生品市場這塊大蛋糕?NFT的潛在回報率不容小覷,這也使得投資者除了用于收藏外.
1900/1/1 0:00:00過去一年多時間里,全球互聯網科技圈里,什么詞最火? 當然是“元宇宙”。 科技、資本、企業甚至是政府爭相涌入,巨頭紛紛入場,將元宇宙帶到了一個前所未有的關注點.
1900/1/1 0:00:00來源:Vaish Puri @TheTieLabs“我只知道一件事,那就是我一無所知”——蘇格拉底?最近圍繞L2擴容解決方案有很多明顯的熱情,這是理所當然的.
1900/1/1 0:00:00如果你對區塊鏈技術感興趣的話,可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件.
1900/1/1 0:00:00