2022年4月23日,成都链安链必应-区块链安全态势感知平台舆情监测显示,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。成都链安技术团队第一时间对事件进行了分析,结果如下。#1事件相关信息
4月23日消息,Solidity开发者foobar发推称,11539ETH被永久锁定在AkuDreams合约中,个人用户或开发团队都无法取出资金。退款处理完成后,将每个出价状态设置为1。因此,用户无法调用emergencyWithdraw()。此外,团队也无法领取资金,基本上等于销毁。
Carbon Opportunities Fund使用Chia Network结算首笔代币化碳信用交易:6月28日消息,致力于开发碳信用验证的私募股权基金Carbon Opportunities Fund使用Chia Network结算了第一笔代币化碳信用交易,投资机构Sumitomo Corporation of Americas从该基金处购买了代币化的碳信用。
Carbon Opportunities Fund的目标是使用区块链创建数字碳市场基础设施,以提高抵消的透明度。[2023/6/28 22:06:32]
成都链安技术团队立刻进行了分析。漏洞合约:0xf42c318dbfbaab0eee040279c6a2588fa01a961d#2漏洞分析
AEX:拟每月将部分平台资产打折转让给客户以换取AUSD销毁:1月8日消息,加密交易平台 AEX 发布《平台情况说明及解决方案 (2)》,称当前部分平台高管的强制措施仍未解除,预计短期内不具有解除的可能性。并在此前「软性兑付」方案的基础上增加方案 2,以进一步增加客户的选择空间,加快客户的资金回流速度。具体措施包括:
1. AEX 会委托第三方律所及第三方管理公司,在遵从可税性、合法性的前提下,将部分回款预期相对能预知的项目权益,以较低折扣转让给客户(一般为 2-4 折),法币交割。(据悉,资产包括影视作品票房收益权、将要上市的企业股票等期限、回报都相对有预知范围的资产。)
2. 参与前提是客户实名签署权益购买合同、完成《合格投资者问卷》、并按规则发送指定数量的 AUSD 至黑洞地址销毁(根据项目不同而不同)以获得抢购资格,每个项目发布时,会在项目公告中,单独约定销毁所需的 AUSD。
3. 项目及参与方式由第三方公司通过公众号发布(预计 1 月中旬发布首个项目),每个项目拟支持 1-49 人参与,客户通过联系客户经理完成合同事项,如最终本项目参与人数超过 49 人,则以销毁 AUSD 时间在先的客户为准,预计每月会推出 1-2 个项目,客户可以选择性参与。[2023/1/8 11:01:18]
Akutar项目的智能合约包含2个漏洞:漏洞一:
永续协议Rage Trade将于12月12日上线Arbitrum网络:12月6日消息,永续协议Rage Trade宣布将于12月12日上线Arbitrum网络,同时与GMX合作推出的Delta Neutral GLP金库也将同步上线。[2022/12/6 21:25:45]
1.第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款。2.而这里使用了call函数进行退款操作,且把退款的结果作为require的判定条件。
李林:不再是Huobi Global实控人与股东也不再拥有任何权限:金色财经报道,Huobi创始人李林在社交媒体发文,表示自己不再是Huobi Global实控人与股东,也不再拥有任何权限。
此前报道,Huobi Global控股股东完成股份出售。百域资本旗下并购基金成为Huobi Global的第一大股东和实控人。[2022/10/8 12:49:22]
3.因此如果此时有攻击者在队列中进行退款操作,调用call退款给攻击者时,攻击者在fallback中进行进行恶意的revert则会导致退款队列卡在攻击者这里,从而导致队列后面的所有人都无法进行退款。
4.这个漏洞被人在链上证明有效,但随后攻击合约便进行了解锁,并没有进行攻击利用,且公开进行了申明。
漏洞二:
该漏洞也是导致价值约3400万美元的ETH资产被锁死在合约中的元凶。1.在claimProjectFunds函数中,该函数主要用于项目方提款。为了避免项目方权限过大,在用户完成提款之前就将合约中的资产全部转走导致用户无法退款,所有的退款操作应全部完成之后项目方才能够提款。业务逻辑设计上来说,是没有问题的。然而,在具体的代码实现中,当前的代码容易受到漏洞一的影响,导致项目方无法提款,不过这只是潜在的风险,本次资金锁死的元凶不是这个原因。2.注意函数中第620行代码:require此处refundProgress表示已经处理了多少个用户的退款,totalBids表示所有用户总投标了多少个NFT。注意由于一个用户可以投标多个NFT,导致单从数值上比较,refundProgress可能小于totalBids。
而再来看看退款函数processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户,refundProgress永远不会高于bidIndex。
此时来看看bidIndex的值,为3669:
totalBids的值为5495:
3.所以refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立,最终导致项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比,开发者犯了一个很低级的错误。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。#3总结
针对本次事件,成都链安技术团队建议:1.开发者应具备基本的安全开发意识,熟悉智能合约开发应注意的安全问题;2.在合约设计和实现时,注意代码实现的正确性,项目上线前,可选择专业的安全审计公司进行全面的安全审计,规避安全风险。
NFT生态正在经历一个快速增长的时期。相应地,该领域的格局一直在变化,这种不断的变动往往导致NFT趋势迅速涌现.
1900/1/1 0:00:00本文仅供学习交流,不构成任何投资参考。利益相关:SevenX投资团队成员Hill参与了Loot\">Loot的社区治理,并与SevenX创始合伙人Eraser一起对AGLD的经济体系进行了提案.
1900/1/1 0:00:002021年4月28日,YugaLabs推出了BoredApeYachtClub——NFT历史上最具影响力的项目之一.
1900/1/1 0:00:00本文来自微信公众号:老雅痞相关阅读:从四大注看MulticoinCapital的成功之道深度剖析MulticoinCapital:如何成为逆势投资者? 你如何找到下一个Solana?在我们Mu.
1900/1/1 0:00:00LayerZero是一个全链的互操作协议,允许部署在不同链上的应用程序相互交流,且不需要任何中间链或共识机制。作为重要的信息传递基础,LayerZero开启了跨链组合性和功能的全新维度.
1900/1/1 0:00:00注:这是我的一篇有关Web3时代创作者经济的文章,主要从技术结构的角度介绍我对Web3时代创作者经济的一些思考。对于所有创作者而言,这是最好的时代.
1900/1/1 0:00:00