据慢雾区消息,Akutars(@AkuDreams) 项目拍卖合约由于多个代码缺陷导致 11,539.5 枚 ETH 永久无法取出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. Akutars 拍卖合约中存在 bid 与 processRefunds 功能,用户分别可以进行拍卖出价与退款操作。
2. 在拍卖结束后发起 processRefunds 退款操作时拍卖合约将遍历出价用户,并通过低级调用 call 为用户进行退款,但并未限制这一调用的 gasLimit。而未做此 gasLimit 限制的情况下,拍卖合约将使用发起者的全部 gas 进行外部调用。
Introducing World App NFT铸造总量突破5万枚,将于4个小时后停止铸造:5月15日消息,据 ZORA 平台数据显示,OpenAI 首席执行官 Sam Altman 创立的加密货币公司 Worldcoin 为庆祝 World App 的发布而推出的「Introducing World App」NFT 铸造量已突破 5 万枚,现已达到 54,084 枚。Introducing World App NFT 铸造将于 4 小时 40 分后结束。[2023/5/15 15:03:17]
3. 但由于 Akutars 拍卖合约并不限制合约参与拍卖,因此“恶意用户”可以使用合约参与拍卖,并在其合约的接收以太函数中写入恶意消耗 gas 的逻辑,使得在进行退款流程时触发此用户合约,进而恶意消耗了调用发起者的全部 gas,直接导致后续退款无法正常进行。
《财富》杂志发布首个“Crypto 40”榜单,包括NFT、DeFi等8个类别:4月11日消息,《财富》杂志近日发布首个“Fortune Crypto 40”榜单,以对“最重要的加密公司”进行排名。Crypto 40由八个类别组成,即TradFi、CeFi、NFT、风险投资(VC)、数据、基础设施、协议和DeFi,每个类别都有五家公司,其中:
- 入围TradFi类别的公司有PayPal、Robinhood、JPMorgan Chase(摩根大通)、Fidelity(富达)和Visa;
- 入围CeFi类别的公司有Coinbase、币安、Kraken、Galaxy Digital和Circle;
- 入围VC类别的公司有Polychain Capital、Animoca Brand、Andreessen Horowitz(a16z)、Pantera Capital和Blockchain Capital;
- 入围NFT类别的公司有OpenSea、Yuga Labs、Sky Mavis、Art Blocks和RTFKT(Nike);
- 入围Data类别的公司有Chainalysis、Coin Metrics、The Graph、Dune和Messari;
- 入围基础设施类别的公司有Ledger、Genesis Digital Assets、Bitmain、Alchemy和Moonpay;
- 入围DeFi类别的公司有Uniswap Labs、Lido、MakerDAO、Aave和Curve;
- 入围协议类别的项目有Ethereum Foundation、Bitcoin、Polygon Labs、Solana Foundation、Offchain Labs(Arbitrum)。[2023/4/11 13:56:18]
4. 幸运的是此“恶意用户”仅仅只是做了风险验证测试,最终解除了恶意消耗 gas 的逻辑使得退款可以继续顺利进行。当然用户也可以在拍卖结束的 3 天后进行紧急退款。
安全公司:NFT项目@OxyaOrigin服务器遭到攻击:金色财经报道,据CertiK监测,NFT项目@OxyaOrigin服务器遭到攻击。请社区用户不要点击链接,铸造或批准任何交易。[2022/10/28 11:52:28]
5. 在用户退款完成后项目方可以通过 claimProjectFunds 功能提取合约中的拍卖所得。但拍卖合约在用户进行 bid 时使用 totalBids 与 bidIndex 记录用户所拍的数量与出价次数,而用户是可以在一次出价中任意选择所拍的数量的,因此在拍卖结束 totalBids 实际上大于 bidIndex。当前 totalBids 为 5495,bidIndex 仅为 3669。
6. 但在 claimProjectFunds 函数中却要求 refundProgress 退款数必须大于等于 totalBids,项目方本意应是为了保证全部用户完成退款后才可进行取款。而实际上 refundProgress 是根据出价人总数进行计算的,也就是全部退款完成 refundProgress 也只是会等于 bidIndex。这就出现了 refundProgress 永远不会大于 totalBids 的情况。最终导致合约中 11,539.5 枚 ETH 永远无法取出。
综上,即使在用户无法退款问题被解决的情况下,由于出价人数与拍卖数量的计数不一致以及项目方取款函数的缺陷,最终都会导致 Akutars 资金被永久锁住的结果。
我国是历史悠久的文明古国,拥有极其丰富的历史遗迹。各类历史遗迹既是中华优秀传统文化的重要载体,也是旅游业可持续发展的重要基础.
1900/1/1 0:00:00我们的美好憧憬,真的能由「跨链NFT」实现吗?最近,以 Gh0stly Gh0sts、tiny dinos 为首的「跨链 NFT」的上涨引人瞩目.
1900/1/1 0:00:00设计师Jeremy Karl 和Eugene Angelo 希望生活在一个去中心化服装设计、创作者拥有自己劳动成果的世界里.
1900/1/1 0:00:001.DeFi代币总市值:1223.17亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量:63.
1900/1/1 0:00:004.23世界读书日书太长了,不想读……咱们这个圈里,充斥着专业名词和中英混杂的文章实在难读,金色财经抽丝剥茧,用简洁易懂的语言,带来这期「懒人读本」.
1900/1/1 0:00:00根据NFTGO数据平台显示,截至4月15日,NFT资产总市值已经达到198亿美元,NFT持有地址数约208万个,近7日的交易量为11.8亿美元.
1900/1/1 0:00:00
火星链