以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

Armors團隊發現NFT項目Akutars因未對合約進行安全審計_FUND:ARM

Author:

Time:1900/1/1 0:00:00

4月23日,NFT項目Akutars 在社交媒體上發布了有關11,539ETH(價值3400萬美元)被永久鎖定的消息。

Armors Company Limited分析了Akutars事件,得出此次被永久鎖定的根本原因為合約上線前代碼未經安全機構審計,上線后因其合約實現邏輯漏洞問題導致價值3400萬美元的ETH永久被鎖死在合約中,用戶和開發團隊都無法取出資金,這部分資金等同于被銷毀狀態。

Akutars表示,本次合約漏洞主要因項目方的失誤造成,并非被人為惡意利用合約漏洞,被鎖定的ETH已無法退還,團隊正在緊急協商應對措施,將盡快鑄造NFT給用戶。

autofarm.network:所有8萬枚AUTO代幣已完成鑄造:10月22日消息,收益聚合器autofarm.network發推稱,至此,所有8萬枚AUTO代幣已全部完成鑄造。[2021/10/22 20:48:56]

Armors Company Limited將此次事件整理分析一下,提醒項目方朋友將來以此為鑒。?

Akutars漏洞合約地址如下:

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

Akutars項目采用的是類似荷蘭降價拍賣的形式,拍賣結束后會按照結束價格給用戶退還超過最低價格的部分。這涉及了refund以及total bids統計兩個方面,而項目方的合約在這兩個方面都存在著實現邏輯問題。

Swarm主網啟動將在6月21日完成:去中心化存儲網絡Swarm宣布主網啟動將在6月21日完成。6月10日代幣合約地址已經部署至主網,代幣地址為0x19062190b1925b5b6689d7073fdfc8c2976ef8cb。未來將發布最新的Swarm客戶端Bee 1.0發布候選版。此前Swarm官方宣布于6月13日進行主網軟啟動。[2021/6/13 23:33:51]

首先,來看第一個合約漏洞。processRefunds會被惡意合約阻斷,實現DOS攻擊,也的確有用戶使用惡意合約阻斷了processRefunds執行,但該名用戶表示只是讓項目方確認問題存在,隨即設置惡意合約變量,使得processRefunds順利執行完。這個漏洞被人在鏈上證明有效,隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用且公開進行了申明,說明這個漏洞并不是此次資金被鎖定的原因所在。?

行情 | 商業咨詢公司Armanino宣布拓展其區塊鏈擔保平臺TrustExplorer:美國會計和商業咨詢公司Armanino宣布拓展其區塊鏈擔保技術平臺TrustExplorer。TrustExplorer的實時認證功能現已添加了受信節點數據服務,該服務可在Armanino的支持下為用戶和審計人員提供事務和帳戶數據源。(StreetInsider)[2020/2/6]

接下來的第二個漏洞,才是這次事件的真正元兇,導致了資金被永久鎖定在合約中并無法提款。我們看到在Akutars合約中,processRefunds是按照msg.sender的數量記錄在了refundProgress變量,拍賣結束項目方調用claimProjectFunds取出合約內的ETH時,要求滿足refundProgress>=totalBids。而totalBids記錄的是NFT的數量,合約最終狀態refundProgress 數值為3669,totalBids數值為5495。

公告 | KARMA 合約升級,解決 CPU/NET/RAM 的相關問題:據MEET.ONE 報道報道,KARMA 今日發文稱 KARMA 合約升級,用戶再也不需要擔心 CPU/NET/RAM 的相關問題,讓應用更加簡單有趣。 用戶帳戶目前需要涵蓋 KARMA 內的 CPU / NET 使用情況。在 CPU Emergency 的幫助下,給用戶提供流暢的體驗,應用程序的使用也不受影響。 此外文中提到一種邊緣化情況:在 KARMA 內,只有當用戶將 KARMA 轉賬給沒持有 KARMA 的其他用戶時,才需要支付 RAM 。[2019/7/26]

也就是說,這里的refundProgress>=5495且refundProgress<3669,這個判斷條件永遠不會成立,最終導致了項目方團隊自己也將永遠無法執行后續的提款操作,此處應將refundProgress與bidIndex做對比。這是Akutars開發者犯的一個很不應該的嚴重錯誤。最終,直接導致了項目方11539ETH被鎖定無法提取。

這里還需要指出的是,在執行processRefunds之前,參與拍賣的用戶可以在三天后通過 emergencyWithdraw將個人投入的ETH取回,但由于processRefunds的執行,導致用戶的拍賣狀態由未處理變為refund,從而不能再進行emergencyWithdraw。

通過以上分析,我們看出由于Akutars項目方上線前沒有對其智能合約進行安全審計,上線后才導致發生了這次資金被永久鎖定在合約中無法提取的嚴重事件。

Armors Company Limited曾不止一次的強調合約安全審計的重要性和必要性,還有很多項目方存在著僥幸心理,覺得問題不會發生在自己項目身上。往往就是抱有的這種僥幸心態,是安全事件頻發的原因。項目方開發者應具備基本的安全開發意識,熟悉智能合約開發應注意的安全問題,也務必把合約代碼安全當成重中之重,審計是保證代碼安全的關鍵因素,因此合約代碼找行業內正規的安全公司進行審計,并定期檢查更新。Armors Company Limited同時提醒項目方,上線后要注意加強數據的安全監控。如果項目方合約代碼是通過正規審計機構全面合規審計的,就能有效避免安全事件的發生。

Armors Company Limited安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors Company Limited已為客戶挽回超過32000個BTC的資產損失。

Tags:ARMUNDFUNFUNDArmor NXMGOLDFundFund Token CoindFund

幣安下載
簡述ERC721R:媽媽再也不用擔心我的NFT破發了_NBS:FTX

今日,一項名為「ERC721R」的全新 NFT 代幣標準正式發布,該功能在 NFT 的智能合約內增加了無需信任的退款功能,允許鑄造者在特定期限內自由“退貨”.

1900/1/1 0:00:00
最搶手 NFT?進場體驗的我又 emo 了 | Footprint Analytics_PHA:PASTA Vault (NFTX)

Jan. 2022, Grace@footprint.networkData Source: Footprint Analytics PhantaBear Dashboard?12 月 31 日.

1900/1/1 0:00:00
麥當勞中國發布首個NFT創意作品“巨無霸魔方”_區塊鏈:區塊鏈的未來發展前景肖磊

(2021年10月8日,上海)今天,麥當勞中國發布首個NFT創意作品“巨無霸魔方”,慶祝其進入中國內地市場31周年,以及位于上海西岸的新總部大樓正式啟用.

1900/1/1 0:00:00
關于NFT那些困惑 這下都明白了_WEB:KITTENS

什么是Web3?為什么要迭代到Web3?它與區塊鏈、元宇宙有什么關系?今天的互聯網是Web2時代,Web3可視作第三代互聯網,其實質在于用戶掌握自己的數據、擁有平臺和應用程序的所有權.

1900/1/1 0:00:00
鯨探出現BUG 有藏品未滿180天轉贈成功_APP:Wrapped LUNA Token

今日下午約15:55分左右,突然爆出鯨探大部分持有未滿180天的藏品可以使用轉贈功能的情況,該消息一出,瞬間引爆了數字藏品社群.

1900/1/1 0:00:00
細數那些“開掛”的加密藝術領袖:左手藝術右手NFT_BEE:beep幣撲

加密藝術已初見崢嶸。盡管與筆尖紙張摩挲碰撞的傳統藝術相比,突破時間和空間限制的加密藝術的規模無異是小巫見大巫,但其成長速度卻不容小覷.

1900/1/1 0:00:00
ads