据慢雾区消息,Akutars(@AkuDreams) 项目拍卖合约由于多个代码缺陷导致 11,539.5 枚 ETH 永久无法取出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. Akutars 拍卖合约中存在 bid 与 processRefunds 功能,用户分别可以进行拍卖出价与退款操作。
2. 在拍卖结束后发起 processRefunds 退款操作时拍卖合约将遍历出价用户,并通过低级调用 call 为用户进行退款,但并未限制这一调用的 gasLimit。而未做此 gasLimit 限制的情况下,拍卖合约将使用发起者的全部 gas 进行外部调用。
区块链开发公司 QuickNode 以未公开金额收购 NFT 分析平台 icy.tools:5月13日消息,区块链开发平台QuickNode周四宣布首次收购icy.tools,这是一个不可替代的代币 (NFT) 分析平台和 NFT API。收购条款未披露。icy.tools成立于 2021 年,允许用户通过访问实时价格和交易量数据、历史图表和交易历史来发现、跟踪和分析趋势 NFT。收购后,icy.tools分析平台仍作为一个独立产品运营,其API将集成到QuickNode开发者平台中。
此前报道,QuickNode 在去年 10 月筹集了 3500 万美元的 A 轮融资, Tiger Global 领投,Reddit 创始人 Alexis Ohanian 等参投。(Coindesk)[2022/5/13 3:12:23]
3. 但由于 Akutars 拍卖合约并不限制合约参与拍卖,因此“恶意用户”可以使用合约参与拍卖,并在其合约的接收以太函数中写入恶意消耗 gas 的逻辑,使得在进行退款流程时触发此用户合约,进而恶意消耗了调用发起者的全部 gas,直接导致后续退款无法正常进行。
门头沟Mt.Gox交易平台将向早期采用者发放纪念版Mt.Gox NFT空投:3月28日,据官方消息,门头沟Mt.Gox交易平台将向早期采用者发放纪念版Mt.Gox NFT空投,在2010年至2014年期间拥有MtGox帐户的任何人都拥有免费领取资格,该计划将完全独立于Mt.Gox破产程序外,并且100%自筹资金。
Mt.Gox的每个用户都有一个唯一的客户编号,从1开始(Mt.Gox创始人Jed McCaleb的帐户,创办日期为2010年7月17日)一直到1066097。在Mt.Gox上创建的最新帐户时间为2014年2月25日凌晨9:14。[2022/3/28 14:22:38]
4. 幸运的是此“恶意用户”仅仅只是做了风险验证测试,最终解除了恶意消耗 gas 的逻辑使得退款可以继续顺利进行。当然用户也可以在拍卖结束的 3 天后进行紧急退款。
开发团队Yuga Labs称Arizona Iced Tea对Bored Ape NFT品牌的使用“不合适”:8月24日消息,上周五,Arizona Iced Tea公司宣布已购买一件Bored Ape Yacht Club NFT。据悉,该系列包括1万张随机生成的头像图片,自4月份推出以来,这些图像的价值飙升。尽管Bored Ape的推特账户分享了这一消息,并欢迎该品牌进入社区,但其创作者后来表示,该饮料品牌实际上已经超越了其商业限制。
Bored Ape Yacht Club的开发团队Yuga Labs周日称,在购买该NFT及其声明方面,它没有与Arizona Iced Tea合作。该团队在一封电子邮件中表示:“在相关推特发布之前,我们从未与Arizona Iced Tea进行过交流。”Yuga Labs向Bored Ape NFT所有者授予商业许可,让他们在认为合适的情况下使用自己拥有的图像,甚至可用于创建或推广产品。这部分没有问题。据Yuga Labs称,Arizona Iced Tea的错误之处在于其在公告中使用了Bored Ape Yacht Club及其Logo,这并不算授权使用。(Decrypt)[2021/8/24 22:33:55]
5. 在用户退款完成后项目方可以通过 claimProjectFunds 功能提取合约中的拍卖所得。但拍卖合约在用户进行 bid 时使用 totalBids 与 bidIndex 记录用户所拍的数量与出价次数,而用户是可以在一次出价中任意选择所拍的数量的,因此在拍卖结束 totalBids 实际上大于 bidIndex。当前 totalBids 为 5495,bidIndex 仅为 3669。
6. 但在 claimProjectFunds 函数中却要求 refundProgress 退款数必须大于等于 totalBids,项目方本意应是为了保证全部用户完成退款后才可进行取款。而实际上 refundProgress 是根据出价人总数进行计算的,也就是全部退款完成 refundProgress 也只是会等于 bidIndex。这就出现了 refundProgress 永远不会大于 totalBids 的情况。最终导致合约中 11,539.5 枚 ETH 永远无法取出。
综上,即使在用户无法退款问题被解决的情况下,由于出价人数与拍卖数量的计数不一致以及项目方取款函数的缺陷,最终都会导致 Akutars 资金被永久锁住的结果。
Dragonfly Capital 是一家拥有超过 20 亿美元资产管理规模的加密资产投资公司,其管理合伙人 Haseeb 身兼数职,包括投资者、创始人、软件工程师,甚至是职业扑克玩家.
1900/1/1 0:00:00原文标题:《Berkeley Blockchain Xcelerator: 2022 Cohort Announcement and Ecosystem News》导读:近日.
1900/1/1 0:00:00近日,中国互联网金融协会、中国银行业协会、中国证券业协会联合发布了《关于防范NFT相关金融风险的倡议》(以下简称“三协会倡议”或“NFT新规”),之前在公众号中承诺要写一个解读文章.
1900/1/1 0:00:00头条▌SBF提出推文上链等多条建议以去中心化Twitter4月14日消息,FTX创始人SBF对去中心化Twitter提出了一些想法: 1. 推文上链,加密:发文者选择谁有权访问它们.
1900/1/1 0:00:00AMA关键词:NFT DAO电影 去中心化集体创作 FwenClub:项目方 20W全球成员Joan Cornella:西班牙艺术家 Ins 325W twitter 53.
1900/1/1 0:00:00以太坊和其他公链,都在尝试利用多链结构扩容,例如以太坊2.0可能实现的同构分片、波卡正在实施的异构分片、COSMOS的跨链结构.
1900/1/1 0:00:00
月亮链