2022年4月23日,成都链安链必应-区块链安全态势感知平台舆情监测显示,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。成都链安技术团队第一时间对事件进行了分析,结果如下。
成都链安技术团队立刻进行了分析。
漏洞合约:
0xf42c318dbfbaab0eee040279c6a2588fa01a961d
#2?漏洞分析
DeFiBox宣布与BakerySwap达成深度战略合作:据官方最新消息,一站式DeFi信息聚合平台DeFiBox.com宣布与BakerySwap达成深度战略合作,DeFiBox将在品牌建设、社区宣传、资源共享等方面全方位协助BakerySwap的生态发展。
DeFiBox利用自身生态优势,已支持BakerySwap的挖矿收益追踪功能,在未来将进一步优化BakerySwap的挖矿体验。
作为BSC上头部的NFT交易市场,BakeySwap创新性地结合了AMM和NFT玩法,也是由Binance Chain Accelerator Fund支持的首批项目之一。最新数据显示,过去90天,BakerySwap的NFT交易总额已突破468万美元,总市值突破2.01亿美元。[2021/4/26 20:59:55]
Akutar项目的智能合约包含2个漏洞:
北京市人大财经委:推动区块链等信息技术在政务服务领域深度应用:北京市十五届人大常委会第二十三次会议高度关注“深化放管服改革、持续优化营商环境”相关议题。北京市人大财经委建议,在政务服务方面,细化量化服务标准,推进同一事项无差别受理、同标准办理。推动区块链、人工智能、大数据等新一代信息技术在政务服务领域深度应用,建设政务服务信息数据共享平台。(北京日报)[2020/7/31]
3.因此如果此时有攻击者在队列中进行退款操作,调用call退款给攻击者时,攻击者在fallback中进行进行恶意的revert则会导致退款队列卡在攻击者这里,从而导致队列后面的所有人都无法进行退款。
浙江省水利厅:将区块链等技术与水利业务深度融合:金色财经消息,近日,浙江省水利厅下发《关于进一步加快推进浙江省水管理平台建设的通知》。《通知》要求,要强化组织领导,规范工作程序,强化工作指导和和技术保障,全力推进水管理平台建设的各项工作;要推动示范引领,将区块链、北斗导航、人工智能、5G等技术与水利业务深度融合,提高水利业务系统智能决策的水平,推进通用性强的地方优秀应用在全省推广使用。[2020/4/26]
4.这个漏洞被人在链上证明有效,但随后攻击合约便进行了解锁,并没有进行攻击利用,且公开进行了申明。
漏洞二:
该漏洞也是导致价值约3400万美元的ETH资产被锁死在合约中的元凶。
1.在claimProjectFunds函数中,该函数主要用于项目方提款。为了避免项目方权限过大,在用户完成提款之前就将合约中的资产全部转走导致用户无法退款,所有的退款操作应全部完成之后项目方才能够提款。业务逻辑设计上来说,是没有问题的。然而,在具体的代码实现中,当前的代码容易受到漏洞一的影响,导致项目方无法提款,不过这只是潜在的风险,本次资金锁死的元凶不是这个原因。
2.注意函数中第620行代码:require此处refundProgress表示已经处理了多少个用户的退款,totalBids表示所有用户总投标了多少个NFT。注意由于一个用户可以投标多个NFT,导致单从数值上比较,refundProgress可能小于totalBids。
而再来看看退款函数processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户,refundProgress永远不会高于bidIndex。
此时来看看bidIndex的值,为3669:
totalBids的值为5495:
3.所以refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立,最终导致项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比,开发者犯了一个很低级的错误。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。
#3?总结
针对本次事件,成都链安技术团队建议:
1.开发者应具备基本的安全开发意识,熟悉智能合约开发应注意的安全问题;
2.在合约设计和实现时,注意代码实现的正确性,项目上线前,可选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。