区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > LTC > 正文

BAL:惊现低级漏洞?简析NFT项目Akutar资金锁定事件_Sint-Truidense Voetbalvereniging Fan Token

作者:

时间:

2022年4月23日,成都链安链必应-区块链安全态势感知平台舆情监测显示,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。成都链安技术团队第一时间对事件进行了分析,结果如下。

成都链安技术团队立刻进行了分析。

漏洞合约:

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

#2?漏洞分析

摩根大通:Ripple案将为加密货币是否构成证券提供法律明确性和辩护:金色财经报道,摩根大通周五在一份研究报告中写道,美国南区法院部分支持支付网络 Ripple 的裁决代表着加密货币行业的一次里程碑式的胜利。它就什么构成和不构成证券提供了法律明确性和辩护,总体结果有利于业内许多人一直争论的问题。[2023/7/15 10:56:23]

Akutar项目的智能合约包含2个漏洞:

3.因此如果此时有攻击者在队列中进行退款操作,调用call退款给攻击者时,攻击者在fallback中进行进行恶意的revert则会导致退款队列卡在攻击者这里,从而导致队列后面的所有人都无法进行退款。

Beosin发现Move VM严重级别漏洞:金色财经报道,近日,区块链安全公司Beosin发现Move VM严重级别漏洞。Beosin安全研究团队在Move虚拟机中发现了一个没有限制递归调用深度而导致的栈溢出漏洞,这个漏洞可以导致整个网络崩溃(total network shutdown),还会让新的validator节点无法加入到网络中,甚至有可能导致硬分叉(hard fork)。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影响。目前该漏洞已被官方修复。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修复了此漏洞。[2023/6/15 21:37:59]

4.这个漏洞被人在链上证明有效,但随后攻击合约便进行了解锁,并没有进行攻击利用,且公开进行了申明。

Magic Eden总交易额突破2000万枚SOL:金色财经报道,据Dune Analytics数据显示,Solana链上NFT市场Magic Eden总交易额已突破2000万枚SOL,本文撰写时达到22,983,374枚SOL。此外,Magic Eden的总交易量也突破了7700万笔,目前为77,682,819笔。[2022/8/13 12:23:21]

漏洞二:

该漏洞也是导致价值约3400万美元的ETH资产被锁死在合约中的元凶。

1.在claimProjectFunds函数中,该函数主要用于项目方提款。为了避免项目方权限过大,在用户完成提款之前就将合约中的资产全部转走导致用户无法退款,所有的退款操作应全部完成之后项目方才能够提款。业务逻辑设计上来说,是没有问题的。然而,在具体的代码实现中,当前的代码容易受到漏洞一的影响,导致项目方无法提款,不过这只是潜在的风险,本次资金锁死的元凶不是这个原因。

2.注意函数中第620行代码:require此处refundProgress表示已经处理了多少个用户的退款,totalBids表示所有用户总投标了多少个NFT。注意由于一个用户可以投标多个NFT,导致单从数值上比较,refundProgress可能小于totalBids。

而再来看看退款函数processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户,refundProgress永远不会高于bidIndex。

此时来看看bidIndex的值,为3669:

totalBids的值为5495:

3.所以refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立,最终导致项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比,开发者犯了一个很低级的错误。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

#3?总结

针对本次事件,成都链安技术团队建议:

1.开发者应具备基本的安全开发意识,熟悉智能合约开发应注意的安全问题;

2.在合约设计和实现时,注意代码实现的正确性,项目上线前,可选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:OBIBALGLOHTTSCOOBISint-Truidense Voetbalvereniging Fan TokenGLORY价格htt币价格今日行情

LTC热门资讯
Tezos:关于暂时关闭Tezos(XTZ)网络充值、提现的公告_OLIVE

亲爱的用户:Tezos网络于2022年04月04日因服务和节点出现技术性问题,而导致网络中断的情况。现阶段,用户在虎符通过Tezos网络的充值、提现业务将暂停.

ETA:Olive Corporation可能成为加密元界下一件大事_AVERSE

每个人都会同意,元宇宙是一个新颖的概念,随着时间的推移只会变得越来越流行。即使是现在,三星、阿联酋航空甚至摩根大通等许多来自不同背景的国际公司都已经涉足虚拟世界,因此可以肯定地说,这个想法不会很.

Huobi Global to Open Trading for DOSE (DOSE) at 08:30 (UTC) on April 27

DearValuedUsers,HuobiGlobalwillbeopeningDOSE(DOSE)?spottrading(DOSE/USDT)at08:30(UTC)onApril27.Di.

TPS:有关异常资金之风险提示_HTT

尊敬的唯客用户您好! WEEX唯客身为一家持牌正规交易所,有鉴于近日活动将严重危害数字资产交易的发展,损害正常用户正当权益,WEEX唯客为预防和恐怖融资活动.

EXC:Cloud Exchange上线DOGE2.0的公告_Cyclops Treasure

尊敬的CloudExchange用户:CloudExchange即将上线DOGE2.0/USDT交易对,详情如下:币种名称:DOGE2.0发行量:1,000,000,000,000.

THE:【Token Airdrop Event】CandyDrop launches VOXEL on April 26_Huobi

Dear?Valued?Users,CandyDrop?is?launching?VOXEL?on?April?26.