2022年4月23日,成都链安链必应-区块链安全态势感知平台舆情监测显示,NTF项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。成都链安技术团队第一时间对事件进行了分析,结果如下。
1事件相关信息
4月23日消息,Solidity开发者foobar发推称,11539ETH被永久锁定在AkuDreams合约中,个人用户或开发团队都无法取出资金。退款处理完成后,将每个出价状态设置为1。因此,用户无法调用emergencyWithdraw()。此外,团队也无法领取资金,基本上等于销毁。?
英国金融科技应用Mode重新推出比特币返现计划:5月3日消息,支持比特币的伦敦证交所(LSE)上市金融科技集团Mode Global Holdings PLC(LSE: Mode)在一篇博客文章中表示,该公司以全新的面貌和100多个新的参与品牌重新启动了比特币现金返还计划。
用户需要下载Mode最新移动应用版本并拥有一个活跃账户,就可以利用这些新功能,并在选定的在线零售商购买时赚取现金。每家商店都有不同的返现率,允许用户在购买比特币时获得1%到12%的回报。特定零售商将为独家交易的产品提供更高的金额,并在特定的时间返现。(Bitcoin Magazine)[2022/5/4 2:48:22]
成都链安技术团队立刻进行了分析。
英国金融监管机构警告未注册的加密货币经济人业务:英国金融监管机构已向投资者发出警告,称需警惕一家未注册的经纪公司,该公司似乎在该国提供与加密相关的衍生品。在周四的一份声明中,金融监管局瞄准了一家名为奥尔森资本的公司,根据监管机构的说法,该公司总部设在保加利亚的索非亚。该机构表示:“该公司没有得到我们的授权,并且客户人群是针对英国人,我们认为它正在从事的业务需要授权。”虽然该公司的网站目前无法访问,但来自一家审查证券经纪人和交易商的网站Scambroker的信息显示,该公司一直在处理加密货币交易服务,并没有在FCA注册成为有执照的经纪人。[2018/3/29]
漏洞合约:
0xf42c318dbfbaab0eee040279c6a2588fa01a961d
英国金融市场行为管理局主席:除非被监管 否则加密货币具有“造成消费者伤害的所有潜力“:据金融时报报道,英国金融市场行为管理局(Financial Conduct Authority)即将卸任的主席John Griffith-Jones在周三的一次演讲中强调,除非被包括在监管范围内,否则加密货币具有“造成消费者伤害的所有潜力”。他的言论与英格兰银行行长Mark Carney本月对于加密货币的观点相呼应,Carney曾表示加密货币及其生态系统方面受到的监管过于宽松。[2018/3/15]
2?漏洞分析
Akutar项目的智能合约包含2个漏洞:
漏洞一:
一名投资者在几分钟内对16枚CryptoPunk NFT出价630万美元:4月10日消息,一名加密货币投资者在几分钟内对16枚CryptoPunkNFT进行竞标,总出价630万美元。截止发稿时,该投资者正在竞价18枚CryptoPunkNFT,总出价536万美元,该帐户尚不拥有任何CryptoPunk。此前消息,佳士得计划将于5月13日拍卖9枚CryptoPunkNFT,编号分别是2、532、58、30、635、602、768、603和757,属性为稀有外星人。[2021/4/10 20:04:41]
1.第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款。
2.而这里使用了call函数进行退款操作,且把退款的结果作为require的判定条件。
3.因此如果此时有攻击者在队列中进行退款操作,调用call退款给攻击者时,攻击者在fallback中进行进行恶意的revert则会导致退款队列卡在攻击者这里,从而导致队列后面的所有人都无法进行退款。
4.这个漏洞被人在链上证明有效,但随后攻击合约便进行了解锁,并没有进行攻击利用,且公开进行了申明。
漏洞二:
该漏洞也是导致价值约3400万美元的ETH资产被锁死在合约中的元凶。
1.在claimProjectFunds函数中,该函数主要用于项目方提款。为了避免项目方权限过大,在用户完成提款之前就将合约中的资产全部转走导致用户无法退款,所有的退款操作应全部完成之后项目方才能够提款。业务逻辑设计上来说,是没有问题的。然而,在具体的代码实现中,当前的代码容易受到漏洞一的影响,导致项目方无法提款,不过这只是潜在的风险,本次资金锁死的元凶不是这个原因。
2.注意函数中第620行代码:require此处refundProgress表示已经处理了多少个用户的退款,totalBids表示所有用户总投标了多少个NFT。注意由于一个用户可以投标多个NFT,导致单从数值上比较,refundProgress可能小于totalBids。
而再来看看退款函数processRefunds中:require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户,refundProgress永远不会高于bidIndex。
此时来看看bidIndex的值,为3669:
totalBids的值为5495:
3.所以refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立,最终导致项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比,开发者犯了一个很低级的错误。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。
标签:WONFUNDFUNPROWonderman Nationdfund币未来前景StableFund USDAres Protocol
从电影和数码作品集到社交媒体,摄影长期以来一直在激发我们的想象力,与我们的技术同步发展,同时帮助我们提炼出一个永恒的现实版本。 想一想翻开你的相机卷。颜色、面孔、风景呼啸而过.
Web3.0提供了一个摆脱过去网络安全错误的机会——意识到该技术潜力、思想开放的信息安全人士已经投入到其中。随着Web3.0迅速发展,作为一名信息安全从业者,我不禁越来越关注.
4月21日消息,币安宣布前英国金融行为监管局和美国金融业监管局职员StevenMcWhirter和SethLevy加入币安.
快览: 尽管市场低迷,但加密投资在第一季度仍然非常活跃。在基础设施方面,我们在跨链解决方案和DAO工具中看到了很多的动向。新的layer-1仍在孵化中.
在2016年,DoKwon还只是一个名不见经传的初创公司创始人,雄心勃勃地想为所有人带来免费的互联网服务,这时的他开始注意到,自己对分布式网络的研究里不断地出现和比特币及以太坊相关的内容.
随着俄罗斯对乌克兰的战争接近第三个月,美国财政部有史以来第一次将矛头指向在俄罗斯经营的比特币矿工。在最新一轮制裁中,美国财政部表示正在对俄罗斯的虚拟货币挖矿公司采取行动.