区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Gateio > 正文

FUND:Armors团队发现NFT项目Akutars因未对合约进行安全审计_FUN

作者:

时间:

4月23日,NFT项目Akutars 在社交媒体上发布了有关11,539ETH(价值3400万美元)被永久锁定的消息。

Armors Company Limited分析了Akutars事件,得出此次被永久锁定的根本原因为合约上线前代码未经安全机构审计,上线后因其合约实现逻辑漏洞问题导致价值3400万美元的ETH永久被锁死在合约中,用户和开发团队都无法取出资金,这部分资金等同于被销毁状态。

Akutars表示,本次合约漏洞主要因项目方的失误造成,并非被人为恶意利用合约漏洞,被锁定的ETH已无法退还,团队正在紧急协商应对措施,将尽快铸造NFT给用户。

以太坊存储网络Swarm发布新版本网络客户端:10月11日消息,去中心化存储网络Swarm基金会Swarm Foundation发布了新版本的Bee,即Swarm网络客户端。在更新中,Cure53审计的建议得到了实施。最新的更新中,Swarm开发团队秉持着从1.1.0版本持续至今的理念,坚持致力于让网络性能更佳,因此并未推出新功能。[2021/10/11 20:19:31]

Armors Company Limited将此次事件整理分析一下,提醒项目方朋友将来以此为鉴。?

Akutars漏洞合约地址如下:

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

Bitfarms:9月共开采305个比特币:10月1日消息,比特币矿企Bitfarms表示,2021年9月开采了305个新比特币,每天大约开采10个比特币。(金十)[2021/10/1 17:19:57]

Akutars项目采用的是类似荷兰降价拍卖的形式,拍卖结束后会按照结束价格给用户退还超过最低价格的部分。这涉及了refund以及total bids统计两个方面,而项目方的合约在这两个方面都存在着实现逻辑问题。

首先,来看第一个合约漏洞。processRefunds会被恶意合约阻断,实现DOS攻击,也的确有用户使用恶意合约阻断了processRefunds执行,但该名用户表示只是让项目方确认问题存在,随即设置恶意合约变量,使得processRefunds顺利执行完。这个漏洞被人在链上证明有效,随后攻击合约便进行了解锁,并没有进行攻击利用且公开进行了申明,说明这个漏洞并不是此次资金被锁定的原因所在。?

动态 | Rafarma计划利用区块链软件协助泰国政府管理大麻行业:据Globe Newswire 7月8日消息,Rafarma Pharmaceuticals, Inc. (OTC: RAFA)宣布开始与泰国政府谈判,以使用由Aetsoft开发的公司专有区块链软件来管理泰国新大麻行业的监管控制。[2019/7/9]

接下来的第二个漏洞,才是这次事件的真正元凶,导致了资金被永久锁定在合约中并无法提款。我们看到在Akutars合约中,processRefunds是按照msg.sender的数量记录在了refundProgress变量,拍卖结束项目方调用claimProjectFunds取出合约内的ETH时,要求满足refundProgress>=totalBids。而totalBids记录的是NFT的数量,合约最终状态refundProgress 数值为3669,totalBids数值为5495。

移动应用分析技术公司AppSwarm宣布推出一款比特币价格追踪移动应用“BitChart”:BitChart允许用户在自己的智能手机上以可视化方式了解比特币价格指数,而且该应用能够始终保持最新的比特币现货价格和日常变化,还能推送实时消息提醒用户价格变化。[2018/1/11]

也就是说,这里的refundProgress>=5495且refundProgress<3669,这个判断条件永远不会成立,最终导致了项目方团队自己也将永远无法执行后续的提款操作,此处应将refundProgress与bidIndex做对比。这是Akutars开发者犯的一个很不应该的严重错误。最终,直接导致了项目方11539ETH被锁定无法提取。

这里还需要指出的是,在执行processRefunds之前,参与拍卖的用户可以在三天后通过 emergencyWithdraw将个人投入的ETH取回,但由于processRefunds的执行,导致用户的拍卖状态由未处理变为refund,从而不能再进行emergencyWithdraw。

通过以上分析,我们看出由于Akutars项目方上线前没有对其智能合约进行安全审计,上线后才导致发生了这次资金被永久锁定在合约中无法提取的严重事件。

Armors Company Limited曾不止一次的强调合约安全审计的重要性和必要性,还有很多项目方存在着侥幸心理,觉得问题不会发生在自己项目身上。往往就是抱有的这种侥幸心态,是安全事件频发的原因。项目方开发者应具备基本的安全开发意识,熟悉智能合约开发应注意的安全问题,也务必把合约代码安全当成重中之重,审计是保证代码安全的关键因素,因此合约代码找行业内正规的安全公司进行审计,并定期检查更新。Armors Company Limited同时提醒项目方,上线后要注意加强数据的安全监控。如果项目方合约代码是通过正规审计机构全面合规审计的,就能有效避免安全事件的发生。

Armors Company Limited安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors Company Limited已为客户挽回超过32000个BTC的资产损失。

标签:ARMUNDFUNFUNDLet's Go FarmingSWISSNFTFUND币sfund币前景FUNDZ价格

Gateio热门资讯
OLA:Solana NFT将于四月上线OpenSea Ross Ulbricht将推出新的NFT_NFT

随着OpenSea宣布对Solana区块链的集成,Solana NFT持有者将很快有一个新的交易场所选择.

Swarm:BTC持仓周报 | 大型机构秀操作 激进清仓空单展现极强看涨信心_莱特币和比特币的关系

8 月 29 日,CFTC 公布了最新一期的 CME 比特币期货周报(8 月 19 日-8 月 25 日),最新统计周期内 BTC 出现了近 1000 美元的大幅回调.

WAR:了解 NFT 会员模式的优缺点 它真能成为订阅模式的未来吗?_Fantasy War

许多创作者和品牌依靠订阅模式谋生。但传统订阅模式建立在可以随时更改费率和政策的平台上。我相信在不久的将来,我们会看到向 NFT 会员模式的快速转变.

FUN:从法律实体类型到个人责任 全面解读DAO的法律结构_TPS

原文作者:   Paradigm 关于 DAO 的法律结构一直是大家所关注的问题。DAOrayaki 社区特此整理出这篇文章,这是一个简洁的、友好的资源,用于比较 DAO 在美国以及一些国际司法管辖区使用的各种法律结构。它旨在成为创始人及其法律顾问的一个起点,以便在他们考虑 DAO 的潜在法律结构解决方案时更好地了解这些问题。

ION:时尚圈如何打好NFT这张牌?_CATE

对于艺术,时尚品牌向来展现出极高的包容度。然而,一件以爱马仕(Hermes)经典铂金手袋为灵感的NFT艺术作品,却让品牌与艺术家闹得不可开交.

DAO:DAOrayaki |艺术 or 科学?浅谈Web3经济中的代币定价_QUO

原文作者:  Living Opera 贡献者:Shaun 审核者:DAOctor 原文:   Pricing Tokens in a Web3 Economy 根据Stat.