4月23日,NFT项目Akutars 在社交媒体上发布了有关11,539ETH(价值3400万美元)被永久锁定的消息。
Armors Company Limited分析了Akutars事件,得出此次被永久锁定的根本原因为合约上线前代码未经安全机构审计,上线后因其合约实现逻辑漏洞问题导致价值3400万美元的ETH永久被锁死在合约中,用户和开发团队都无法取出资金,这部分资金等同于被销毁状态。
Akutars表示,本次合约漏洞主要因项目方的失误造成,并非被人为恶意利用合约漏洞,被锁定的ETH已无法退还,团队正在紧急协商应对措施,将尽快铸造NFT给用户。
加密KOL Ben Armstrong:美SEC主席Gary Gensler或将迫于压力在2023年辞职:金色财经报道,据加密 KOL Ben Armstrong 在社交媒体称,Ripple 将在今年赢得与美国证券交易委员会之间的诉讼案件,同时他还声称今年美国证券交易委员会主席 Gary Gensler 或将迫于压力辞职。实际上,Gary Gensler 辞职并非空穴来风,2022 年就有人因为 FTX 破产事件呼吁他辞职,另外由于 Gary Gensler 是民主党人,但共和党已经赢下了众议院多数席位,或对其继续担任此职务不利。[2023/1/3 22:21:54]
Armors Company Limited将此次事件整理分析一下,提醒项目方朋友将来以此为鉴。?
时尚品牌Under Armour计划发行NFT:金色财经消息,时尚品牌Under Armour的库里品牌(CurryBrand)计划发行NFT,以庆祝NBA篮球运动员斯蒂芬·库里(StephenCurry)在正在进行的季后赛中投中三分球,该系列NFT将以先到先得的方式发放给粉丝,并附带一种名为“serums”的东西,允许用户改变自己的虚拟形象的外观。从6月份开始,该品牌计划再投放2万个篮球NFT。(TheBlock)[2022/5/7 2:57:34]
Akutars漏洞合约地址如下:
0xf42c318dbfbaab0eee040279c6a2588fa01a961d
Plato Farm的ERC721的NFT 24小时交易量已突破16.5万笔:据HecoInfo的数据显示,元宇宙项目Plato Farm的ERC721的NFT 24小时交易量已突破16.5万笔,为第二至第十名累计交易量之和,成为Heco链上NFT交易量最高的项目。Plato Farm是一个基于区块链技术实现模拟经营元宇宙产品,已成为Heco链上NFT资产交易额最高的项目之一。
据悉,PlatoFarm以2亿美金的估值获得多家国际机构投资。此外,Plato Farm将于近期发布其DAO的治理章程,旨在让用户能够在一个全新乌托邦的虚拟世界中。[2022/1/8 8:35:01]
Akutars项目采用的是类似荷兰降价拍卖的形式,拍卖结束后会按照结束价格给用户退还超过最低价格的部分。这涉及了refund以及total bids统计两个方面,而项目方的合约在这两个方面都存在着实现逻辑问题。
DeFi保险聚合器Armor.Fi:将ARMOR和arNXM列入Bancor白名单的提案已通过:DeFi保险聚合器Armor.Fi发推称,此前建议将ARMOR和arNXM列入Bancor白名单的提案已经通过。962万美元的vBNT(占总投票数的98.06%)投了赞成票,达到45.32%的法定人数要求,这样LP就可以在不造成无常损失的情况下赚取交易费用。官方接下来将公布更多细节。[2021/3/27 19:22:31]
首先,来看第一个合约漏洞。processRefunds会被恶意合约阻断,实现DOS攻击,也的确有用户使用恶意合约阻断了processRefunds执行,但该名用户表示只是让项目方确认问题存在,随即设置恶意合约变量,使得processRefunds顺利执行完。这个漏洞被人在链上证明有效,随后攻击合约便进行了解锁,并没有进行攻击利用且公开进行了申明,说明这个漏洞并不是此次资金被锁定的原因所在。?
接下来的第二个漏洞,才是这次事件的真正元凶,导致了资金被永久锁定在合约中并无法提款。我们看到在Akutars合约中,processRefunds是按照msg.sender的数量记录在了refundProgress变量,拍卖结束项目方调用claimProjectFunds取出合约内的ETH时,要求满足refundProgress>=totalBids。而totalBids记录的是NFT的数量,合约最终状态refundProgress 数值为3669,totalBids数值为5495。
也就是说,这里的refundProgress>=5495且refundProgress<3669,这个判断条件永远不会成立,最终导致了项目方团队自己也将永远无法执行后续的提款操作,此处应将refundProgress与bidIndex做对比。这是Akutars开发者犯的一个很不应该的严重错误。最终,直接导致了项目方11539ETH被锁定无法提取。
这里还需要指出的是,在执行processRefunds之前,参与拍卖的用户可以在三天后通过 emergencyWithdraw将个人投入的ETH取回,但由于processRefunds的执行,导致用户的拍卖状态由未处理变为refund,从而不能再进行emergencyWithdraw。
通过以上分析,我们看出由于Akutars项目方上线前没有对其智能合约进行安全审计,上线后才导致发生了这次资金被永久锁定在合约中无法提取的严重事件。
Armors Company Limited曾不止一次的强调合约安全审计的重要性和必要性,还有很多项目方存在着侥幸心理,觉得问题不会发生在自己项目身上。往往就是抱有的这种侥幸心态,是安全事件频发的原因。项目方开发者应具备基本的安全开发意识,熟悉智能合约开发应注意的安全问题,也务必把合约代码安全当成重中之重,审计是保证代码安全的关键因素,因此合约代码找行业内正规的安全公司进行审计,并定期检查更新。Armors Company Limited同时提醒项目方,上线后要注意加强数据的安全监控。如果项目方合约代码是通过正规审计机构全面合规审计的,就能有效避免安全事件的发生。
Armors Company Limited安全机构成立于2017年,是行业最早成立的专业区块链安全机构之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴,已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来,Armors Company Limited已为客户挽回超过32000个BTC的资产损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。