NFT项目Akutars资金锁定事件简析

据慢雾区消息,Akutars(@AkuDreams) 项目拍卖合约由于多个代码缺陷导致 11,539.5 枚 ETH 永久无法取出。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. Akutars 拍卖合约中存在 bid 与 processRefunds 功能,用户分别可以进行拍卖出价与退款操作。

2. 在拍卖结束后发起 processRefunds 退款操作时拍卖合约将遍历出价用户,并通过低级调用 call 为用户进行退款,但并未限制这一调用的 gasLimit。而未做此 gasLimit 限制的情况下,拍卖合约将使用发起者的全部 gas 进行外部调用。

可口可乐在Polygon网络上推出“骄傲”系列NFT:7月3日消息,可口可乐宣布与RichMinsi合作推出“骄傲”系列(Pride Collection)NFT,作为“国际LGBT骄傲日”庆祝活动的一部分,该系列NFT已上架OpenSea,相关收益将用于慈善。截至目前,可口可乐Pride Collection网站上提供了136个NFT的限量版,本次发行的NFT将在Polygon区块链上铸造,价格为335 MATIC(约合150美元)。[2022/7/3 1:47:55]

3. 但由于 Akutars 拍卖合约并不限制合约参与拍卖,因此“恶意用户”可以使用合约参与拍卖,并在其合约的接收以太函数中写入恶意消耗 gas 的逻辑,使得在进行退款流程时触发此用户合约,进而恶意消耗了调用发起者的全部 gas,直接导致后续退款无法正常进行。

JC Flowers将以3亿美元收购加密交易商LMAX Group30%股份:投资公司JC Flowers将以3亿美元的价格收购外汇和加密交易商LMAX Group30%的股份,LMAX的股权价值为10亿美元。(Coindesk)[2021/7/15 0:55:35]

4. 幸运的是此“恶意用户”仅仅只是做了风险验证测试,最终解除了恶意消耗 gas 的逻辑使得退款可以继续顺利进行。当然用户也可以在拍卖结束的 3 天后进行紧急退款。

美股开盘:美股区块链概念股全线上涨:美股三大指数集体高开,道指涨0.41%,纳指涨0.84%,标普500指数涨0.52%。美股区块链概念股全线上涨,柯达上涨0.52%,埃森哲上涨0.85%,overstock.com上涨13.87%;RiotBlockchain上涨3.05%,MarathonPatent上涨1.52%,Square上涨1.83%。[2020/9/10]

5. 在用户退款完成后项目方可以通过 claimProjectFunds 功能提取合约中的拍卖所得。但拍卖合约在用户进行 bid 时使用 totalBids 与 bidIndex 记录用户所拍的数量与出价次数,而用户是可以在一次出价中任意选择所拍的数量的,因此在拍卖结束 totalBids 实际上大于 bidIndex。当前 totalBids 为 5495,bidIndex 仅为 3669。

6. 但在 claimProjectFunds 函数中却要求 refundProgress 退款数必须大于等于 totalBids,项目方本意应是为了保证全部用户完成退款后才可进行取款。而实际上 refundProgress 是根据出价人总数进行计算的,也就是全部退款完成 refundProgress 也只是会等于 bidIndex。这就出现了 refundProgress 永远不会大于 totalBids 的情况。最终导致合约中 11,539.5 枚 ETH 永远无法取出。

综上,即使在用户无法退款问题被解决的情况下,由于出价人数与拍卖数量的计数不一致以及项目方取款函数的缺陷,最终都会导致 Akutars 资金被永久锁住的结果。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

欧易交易所Stripe再入场:率先允许Twitter创作者以USDC获得收入

摘要: 在线支付公司 Stripe 表示,将开始允许商家通过稳定币 USDC 向用户支付加密货币。 从周五开始,Twitter 将允许一定数量的创作者从其付费功能 Ticketed Spaces 和 Super Follows 中获得他们的收入。 这是 Stripe 自四年前放弃对比特币的支持以来首次大举进军加密货币领域。

BTC金色Web3.0日报 | 爱奇艺发布12周年数字纪念藏品

1.DeFi代币总市值:1215.06亿美元DeFi总市值 数据来源:coingecko 2.过去24小时去中心化交易所的交易量:23.48亿美元过去24小时去中心化交易所的交易量 数据来源:coingecko 3.DeFi中锁定资产:2102.2亿美元DeFi项目锁定资产前十排名及锁仓量 数据来源:defillama 1.NFT总市值:435。

瑞波币晚间必读5篇 | 浅谈Web3所有权经济

1.4月区块链生态被盗总金额约2亿8000万美元 较典型安全事件超21起 2022年4月,各类安全事件数量较3月有所下降。4月发生较典型安全事件超『21』起。攻击类安全事件损失总金额约2亿8000万美元。点击阅读 2.监管加密货币:一场事关未来权力的战争 3月8日,拜登政府发布了美国史上首个针对数字资产的行政令,呼吁强化监管。

[0:0ms0-3:9ms