2022年4月23日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,NTF項目方Akutar的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析,結果如下。
1事件相關信息
4月23日消息,Solidity開發者foobar發推稱,11539ETH被永久鎖定在AkuDreams合約中,個人用戶或開發團隊都無法取出資金。退款處理完成后,將每個出價狀態設置為1。因此,用戶無法調用emergencyWithdraw()。此外,團隊也無法領取資金,基本上等于銷毀。?
《絕地求生》母公司今年將推出 NFT 元宇宙游戲:金色財經報道,《絕地求生》母公司Krafton計劃中的Web3元宇宙游戲平臺,暫定名為Migaloo預計將于今年推出。根據本周發布的消息,Krafton 和韓國增強現實公司 Naver Z 已經在北美創建了一家合資公司,并為 Migaloo 的開發投入了 3680 萬美元。 根據安排,Krafton 將擁有該合資企業85% 的股份,而 Naver Z 將持有剩余的 15%。[2023/4/21 14:17:13]
成都鏈安技術團隊立刻進行了分析。
漏洞合約:
0xf42c318dbfbaab0eee040279c6a2588fa01a961d
NFT項目Okay Bear將于3月13日推出“Sleep Streaks”:金色財經報道,據Okay Bear在社交媒體披露,該NFT項目將于3月13日推出“Sleep Streaks”,Sleep Streaks 是Okay Bears給予的三種連續獎勵之一,旨在提供給將Okay Bear NFT退市或退出二級市場的持有人。另據CryptoSlam最新數據顯示,當前Okay Bear交易總額已達到1.23億美元,交易總量接近5萬筆,當前地板價約為44.55 SOL。[2023/3/4 12:41:42]
2?漏洞分析
Akutar項目的智能合約包含2個漏洞:
數據:今年前3個月的NFT相關商標申請數已超去年全年:4月24日消息,據美國律師Mike Kondoudis的推文,新的NFT和與NFT相關的商標申請數量持續增加。今年前三個月,新的NFT相關商標申數數量為2341件,而2021年全年提交了1982份申請。[2022/4/24 14:45:37]
漏洞一:
1.第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款。
2.而這里使用了call函數進行退款操作,且把退款的結果作為require的判定條件。
Axie Infinity谷歌搜索量在NFT系列中排名第一:3月4日消息,Axie Infinity谷歌搜索量在NFT系列中排名第一,每月搜索總數為386萬次,自2021年底以來增加了五倍多。排名第二的是The Sandbox,每月全球搜索量達到55.3萬次。排名第三的是NBA Top Shot,每月全球搜索量為47.7萬次。(Finbold)[2022/3/4 13:37:58]
3.因此如果此時有攻擊者在隊列中進行退款操作,調用call退款給攻擊者時,攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里,從而導致隊列后面的所有人都無法進行退款。
4.這個漏洞被人在鏈上證明有效,但隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用,且公開進行了申明。
漏洞二:
該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。
1.在claimProjectFunds函數中,該函數主要用于項目方提款。為了避免項目方權限過大,在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款,所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說,是沒有問題的。然而,在具體的代碼實現中,當前的代碼容易受到漏洞一的影響,導致項目方無法提款,不過這只是潛在的風險,本次資金鎖死的元兇不是這個原因。
2.注意函數中第620行代碼:require此處refundProgress表示已經處理了多少個用戶的退款,totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT,導致單從數值上比較,refundProgress可能小于totalBids。
而再來看看退款函數processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶,refundProgress永遠不會高于bidIndex。
此時來看看bidIndex的值,為3669:
totalBids的值為5495:
3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立,最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比,開發者犯了一個很低級的錯誤。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。
Tags:NFTFUNDUNDPRODFNORM Vault (NFTX)NFTFundArtrcfundEML Protocol
原文標題:《Howthe?Metaverse?CouldChangeWork》想象一個世界,你可以與同事在海邊交談,在空間站周圍漂浮時做會議記錄,或者從你在倫敦的辦公室傳送到紐約.
1900/1/1 0:00:00如今,每個人都在爭論誰應該控制Twitter,應該是埃隆馬斯克?應該是沙特人嗎?或者,它應該是一家私募股權公司。令人擔憂的是,無論誰控制了Twitter,都將有能力控制3億人的信息審查.
1900/1/1 0:00:00頭條 ▌納米比亞央行計劃推出CBDC4月9日消息,隨著加密貨幣在全球的興起并且越來越多地被采用,納米比亞央行最近發布其金融科技監管框架,并宣布有意推出其中央銀行數字貨幣.
1900/1/1 0:00:00金色財經報道,4月21日,據The?Block消息,風險投資巨頭AndreessenHorowitz(a16z)正在推出一個新的學術實驗室,致力于解決快速增長的數字資產行業面臨的研究問題.
1900/1/1 0:00:00比特幣在國內受法律的保護嗎?近日,在北京德恒律師事務所劉揚律師團隊代理的一則委托管理比特幣糾紛案件中,北京仲裁委員會裁定:“本案合同并非違法合同,也沒有違背公序良俗,不存在無效的情形.
1900/1/1 0:00:00頭條 ▌四川省發改委發文稱嚴打挖礦和執行差別電價4月15日消息,四川省發改委發布通知,根據國家和省整治虛擬貨幣“挖礦”活動相關政策規定,嚴禁一切虛擬貨幣“挖礦”活動.
1900/1/1 0:00:00