BID:NFT项目Akutars资金锁定事件简析_BIDR

据慢雾区消息，Akutars(@AkuDreams)项目拍卖合约由于多个代码缺陷导致11,539.5枚ETH永久无法取出。慢雾安全团队进行分析后以简讯的形式分享给大家。

1.Akutars拍卖合约中存在bid与processRefunds功能，用户分别可以进行拍卖出价与退款操作。

2.在拍卖结束后发起processRefunds退款操作时拍卖合约将遍历出价用户，并通过低级调用call为用户进行退款，但并未限制这一调用的gasLimit。而未做此gasLimit限制的情况下，拍卖合约将使用发起者的全部gas进行外部调用。

本周NFT销售量略有上升:金色财经消息，截至7月2日通过cryptoslam获得的7天NFT销售数据，本周NFT销售量略有上升。在撰写本文时，18个不同的区块链记录了约154,366,090美元的NFT销售额，该指标比前一周高出约0.96%。[2022/7/3 1:47:19]

3.但由于Akutars拍卖合约并不限制合约参与拍卖，因此“恶意用户”可以使用合约参与拍卖，并在其合约的接收以太函数中写入恶意消耗gas的逻辑，使得在进行退款流程时触发此用户合约，进而恶意消耗了调用发起者的全部gas，直接导致后续退款无法正常进行。

Snoop Dogg和Wiz Khalifa推出以APE和BAYC为主题的音乐NFT:3月24日消息，说唱歌手Snoop Dogg发布了以 ApeCoin (APE) 和Bored Ape Yacht Club (BAYC) 为主题的音乐NFT，名为“Ape Drops 03 : An 8th”，是与说唱歌手Wiz Khalifa合作制作的由八首曲目组成。Snoop Dogg称，这些曲目可以购买两天，并且只能使用上周通过空投发布的ApeCoin代币购买。总共有近8000个NFT可供出售，每个NFT的价格从12 APE到15 APE不等。根据当前汇率，该系列中每个NFT的价格在165美元到210美元之间。(Coingape)[2022/3/24 14:15:56]

4.幸运的是此“恶意用户”仅仅只是做了风险验证测试，最终解除了恶意消耗gas的逻辑使得退款可以继续顺利进行。当然用户也可以在拍卖结束的3天后进行紧急退款。

漫中文与RubiX合作举办NFT艺术品拍卖会:漫中文与区块链即服务（BaaS）和安全解决方案公司RubiX Network Inc合作举办NFT艺术品拍卖会，选出1000副能体现中国当代文化、风貌和核心价值观的原创图片，拼贴成目前世界上最大的NFT画作。与Beeple之类的以前的NFT不同，RubiX是第一个使用NFT来保持图像内最高分辨率质量的NFT，目前这些艺术品正在拍卖阶段。

据悉，“和谐（The Harmony）”NFT的大小超过4.32亿字节，是迄今为止市场上销售的最大NFT。和谐是社会主义核心价值观关键词之一，是中国传统文化的基本理念，集中体现了学有所教、劳有所得、病有所医、老有所养、住有所居的生动局面。[2021/4/14 20:19:40]

5.在用户退款完成后项目方可以通过claimProjectFunds功能提取合约中的拍卖所得。但拍卖合约在用户进行bid时使用totalBids与bidIndex记录用户所拍的数量与出价次数，而用户是可以在一次出价中任意选择所拍的数量的，因此在拍卖结束totalBids实际上大于bidIndex。当前totalBids为5495，bidIndex仅为3669。

6.但在claimProjectFunds函数中却要求refundProgress退款数必须大于等于totalBids，项目方本意应是为了保证全部用户完成退款后才可进行取款。而实际上refundProgress是根据出价人总数进行计算的，也就是全部退款完成refundProgress也只是会等于bidIndex。这就出现了refundProgress永远不会大于totalBids的情况。最终导致合约中11,539.5枚ETH永远无法取出。

综上，即使在用户无法退款问题被解决的情况下，由于出价人数与拍卖数量的计数不一致以及项目方取款函数的缺陷，最终都会导致Akutars资金被永久锁住的结果。

标签：BIDPROUNDFUNBIDREvident Proof Transaction TokenCompound EtherFUNDZ币

币赢交易所热门资讯