PLA:Armors团队发现NFT项目Akutars因未对合约进行安全审计_PLAAS价格

4月23日，NFT项目Akutars 在社交媒体上发布了有关11,539ETH（价值3400万美元）被永久锁定的消息。

Armors Company Limited分析了Akutars事件，得出此次被永久锁定的根本原因为合约上线前代码未经安全机构审计，上线后因其合约实现逻辑漏洞问题导致价值3400万美元的ETH永久被锁死在合约中，用户和开发团队都无法取出资金，这部分资金等同于被销毁状态。

Akutars表示，本次合约漏洞主要因项目方的失误造成，并非被人为恶意利用合约漏洞，被锁定的ETH已无法退还，团队正在紧急协商应对措施，将尽快铸造NFT给用户。

加拿大上市矿企Bitfarms再次完成1500万美元股票配售:金色财经报道，周三，加拿大上市矿企Bitfarms (BITF)完成了第二次股票配售，价值2000万加元，约合1500万美元。一周前，BITF还完成了另一次1500万美元的配售。本次发行共有5,586,593股普通股，比首次发行少300多万股。

所得款项将用于购置更多的采矿机器和扩大其采矿设施。根据Ycharts的数据，Bitfarms目前的市值为3.74亿美元，发行股票超过8500万股。（coindesk）[2021/1/14 16:08:09]

Armors Company Limited将此次事件整理分析一下，提醒项目方朋友将来以此为鉴。?

Ian Sung：Farmland 自主化无感跨链，将成牛市助推器:12月29日 19:00，Farmland CEO ian Sung作客MXC抹茶社区发表观点。

Sung表示：“从用户使用体验上，Farmland让用户做到了无感跨链，也就是说用户在使用过程中根本不会发现自己已经在跨链了。用户只需要像使用BTC钱包一样使用Farmland，非常自然得就实现了跨链挖矿这一动作。Farmland的跨链分三个阶段。

第一个阶段是，聚合现有协议阶段，为了让大家更快用到方便的工具，我们先聚合了现有的跨链协议，让用户做到无感跨链。

第二阶段，Farmland就采用了类似于CRV的方式，深度包裹一揽子以太坊上的比特币，来实现跨链兑换。

第三个阶段，Farmland采用看守者和分片等技术，来实现了完整的从头到尾自主化的跨链功能。”[2020/12/29 16:01:00]

Akutars漏洞合约地址如下：

HyperBC Farm将于12月7日19点上线FIL单币种抵押挖矿池:据官方消息，HyperBC Farm将于12月7日19点上线并开放hFIL单币种质押池，用户可在HyperPay钱包将FIL映射为hFIL并转入到HyperBC Farm参与流动性挖矿以获得HBT奖励。

HBT（HyperBC Token）是HyperBC发行的去中心化加密资产，是流通于HyperBC生态中的权益通证，其发行目的是帮助加密货币理财参与者进行价值储藏、价值流通和价值寻找。HBT是基于以太坊发行的ERC20通证，总量10亿枚，只能通过参与HyperBC金融生态中的加密资产挖矿、借贷、保险等业务获取，无预挖，无众筹。[2020/12/7 14:28:19]

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

日本房产公司Starmica开始支持比特币支付:据日经新闻5月10日报道，日本一家主要经营二手公寓的房产公司Starmica已宣布开始接受比特币支付，单笔交易限额为5000万日元等值比特币。虚拟货币的价格高涨吸引了许多传统投资家进场，不过房地产上市公司支持虚拟货币结算的例子在业界尚属罕见。[2018/5/11]

Akutars项目采用的是类似荷兰降价拍卖的形式，拍卖结束后会按照结束价格给用户退还超过最低价格的部分。这涉及了refund以及total bids统计两个方面，而项目方的合约在这两个方面都存在着实现逻辑问题。

首先，来看第一个合约漏洞。processRefunds会被恶意合约阻断，实现DOS攻击，也的确有用户使用恶意合约阻断了processRefunds执行，但该名用户表示只是让项目方确认问题存在，随即设置恶意合约变量，使得processRefunds顺利执行完。这个漏洞被人在链上证明有效，随后攻击合约便进行了解锁，并没有进行攻击利用且公开进行了申明，说明这个漏洞并不是此次资金被锁定的原因所在。?

接下来的第二个漏洞，才是这次事件的真正元凶，导致了资金被永久锁定在合约中并无法提款。我们看到在Akutars合约中，processRefunds是按照msg.sender的数量记录在了refundProgress变量，拍卖结束项目方调用claimProjectFunds取出合约内的ETH时，要求满足refundProgress>=totalBids。而totalBids记录的是NFT的数量，合约最终状态refundProgress 数值为3669，totalBids数值为5495。

也就是说，这里的refundProgress>=5495且refundProgress<3669，这个判断条件永远不会成立，最终导致了项目方团队自己也将永远无法执行后续的提款操作，此处应将refundProgress与bidIndex做对比。这是Akutars开发者犯的一个很不应该的严重错误。最终，直接导致了项目方11539ETH被锁定无法提取。

这里还需要指出的是，在执行processRefunds之前，参与拍卖的用户可以在三天后通过 emergencyWithdraw将个人投入的ETH取回，但由于processRefunds的执行，导致用户的拍卖状态由未处理变为refund，从而不能再进行emergencyWithdraw。

通过以上分析，我们看出由于Akutars项目方上线前没有对其智能合约进行安全审计，上线后才导致发生了这次资金被永久锁定在合约中无法提取的严重事件。

Armors Company Limited曾不止一次的强调合约安全审计的重要性和必要性，还有很多项目方存在着侥幸心理，觉得问题不会发生在自己项目身上。往往就是抱有的这种侥幸心态，是安全事件频发的原因。项目方开发者应具备基本的安全开发意识，熟悉智能合约开发应注意的安全问题，也务必把合约代码安全当成重中之重，审计是保证代码安全的关键因素，因此合约代码找行业内正规的安全公司进行审计，并定期检查更新。Armors Company Limited同时提醒项目方，上线后要注意加强数据的安全监控。如果项目方合约代码是通过正规审计机构全面合规审计的，就能有效避免安全事件的发生。

Armors Company Limited安全机构成立于2017年，是行业最早成立的专业区块链安全机构之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公链审计合作伙伴，已为超过2000家区块链平台、交易所、钱包、DApp等机构和项目提供安全审计、渗透测试、跨链迁移、平台安全等各方面保障及服务。成立以来，Armors Company Limited已为客户挽回超过32000个BTC的资产损失。

标签：PLALAIAIDISAPLAAS价格FirulaisAIDOGE Stellarunisat教程

Gate.io热门资讯