REM:惊现低级漏洞？简析NFT项目Akutar资金锁定事件_REM币

2022年4月23日，成都链安链必应-区块链安全态势感知平台舆情监测显示，NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞，导致11539ETH被锁死在合约中。成都链安技术团队第一时间对事件进行了分析，结果如下。

成都链安技术团队立刻进行了分析。

漏洞合约：

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

#2?漏洞分析

集成Chainlink实时feed的GMX V2已上线Arbitrum Goerli测试网:8月23日消息，据GMX官方消息，集成Chainlink实时feed的GMX V2已上线Arbitrum Goerli测试网。[2023/8/23 18:17:28]

Akutar项目的智能合约包含2个漏洞：

3.因此如果此时有攻击者在队列中进行退款操作，调用call退款给攻击者时，攻击者在fallback中进行进行恶意的revert则会导致退款队列卡在攻击者这里，从而导致队列后面的所有人都无法进行退款。

币安驳回CFTC诉讼的最后期限被延长至10月23日:金色财经报道，币安首席执行官赵长鹏和前首席合规官Samuel Lim试图驳回美国商品期货交易委员会(CFTC)的诉讼。法院允许被告在7月27日之前单独提出支持驳回诉讼的动议。然而，法院已将原告(CFTC)诉讼的最后期限延长至9月22日，从而推迟了币安以法院缺乏管辖权为由驳回诉讼的计划。此外，币安可以在10月23日之前回复CFTC的回复，将回复限制在35页以内。

与此同时，当双方提出驳回诉讼的动议时，管辖权开示为“保留”。这意味着，在币安和CFTC都提出动议之前，诉讼将继续在法院进行，诉讼可能会延长到明年。

币安还面临美国司法部的调查，并且诉讼可能迫在眉睫，因为美国证券交易委员会和美国商品期货交易委员会的诉讼通常与司法部的诉讼一起提起。[2023/7/27 16:02:14]

4.这个漏洞被人在链上证明有效，但随后攻击合约便进行了解锁，并没有进行攻击利用，且公开进行了申明。

Wirex推出支持加密资产的信贷产品:金色财经报道，加密支付公司WirexWirex推出了Wirex Credit，由加密货币支持的信贷，并且没有发起费。Wirex Credit 提供USDC、USDT和NXUSD等Stablecoin形式的即时贷款，最高可提供80% 的 LTV（贷款价值比），信贷额度可达10万美元。该产品使用户无论市场条件如何都能获得信贷，无论是通过投资DeFi协议赚取资金还是使用Wirex卡购买度假产品。[2022/7/5 1:52:14]

漏洞二：

该漏洞也是导致价值约3400万美元的ETH资产被锁死在合约中的元凶。

1.在claimProjectFunds函数中，该函数主要用于项目方提款。为了避免项目方权限过大，在用户完成提款之前就将合约中的资产全部转走导致用户无法退款，所有的退款操作应全部完成之后项目方才能够提款。业务逻辑设计上来说，是没有问题的。然而，在具体的代码实现中，当前的代码容易受到漏洞一的影响，导致项目方无法提款，不过这只是潜在的风险，本次资金锁死的元凶不是这个原因。

2.注意函数中第620行代码：require此处refundProgress表示已经处理了多少个用户的退款，totalBids表示所有用户总投标了多少个NFT。注意由于一个用户可以投标多个NFT，导致单从数值上比较，refundProgress可能小于totalBids。

而再来看看退款函数processRefunds中：require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户，refundProgress永远不会高于bidIndex。

此时来看看bidIndex的值，为3669：

totalBids的值为5495：

3.所以refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立，最终导致项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比，开发者犯了一个很低级的错误。最终，导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

#3?总结

针对本次事件，成都链安技术团队建议：

1.开发者应具备基本的安全开发意识，熟悉智能合约开发应注意的安全问题；

2.在合约设计和实现时，注意代码实现的正确性，项目上线前，可选择专业的安全审计公司进行全面的安全审计，规避安全风险。

标签：REMCURCLMLANAREM币curve币官网CLM价格solana币怎么挖矿

BNB热门资讯