[Aku项目方价值3,400万美元ETH被永久锁定,系合约实现逻辑问题]4月23日消息,NFT项目方Akutar的11,539.5 ETH(约合3,400万美元)被永久锁定在拍卖合约。
Aku采用的是类似荷兰降价拍卖的形式,拍卖结束后会按照结束价格给用户退还超过最低价格的部分,因此这涉及refund以及total bids统计两个方面,而项目方在这两个方面均存在实现逻辑问题。
第一个漏洞,processRefunds() 会被恶意合约阻断,实现DoS攻击,也确有用户使用恶意合约阻断了processRefunds()执行,但该名用户表示只是让项目方确认问题存在,随即设置恶意合约变量,使得processRefunds()顺利执行完,因此该漏洞虽被利用,但已成功解决。
第二个漏洞,也就是真正导致项目方无法提款的关键所在,processRefunds()是按照msg.sender的数量记录在了refundProgress变量,拍卖结束项目方调用claimProjectFunds()取出合约内的ETH时,要求满足refundProgress >= totalBids,而totalBids记录的是NFT的数量,合约最终状态refundProgress数值为3669,totalBids数值为5495,从而导致项目方无法提取合约内的11539.5 ETH。
需要指出的是,在执行processRefunds()之前,参与拍卖的用户可以在三天后通过emergencyWithdraw()将个人投入的ETH取回,但由于processRefunds()的执行,导致用户的拍卖状态由未处理变为refund,从而不能再进行emergencyWithdraw()。
其它快讯:
NFT项目DigiDaigaku 24小时交易额涨幅近400%:金色财经报道,据NFTGO数据显示,NFT项目DigiDaigaku 24小时交易额达791,990.95美元,涨幅达393.91%。该项目曾于8月9日采取FreeMint形式发售,据OpenSea数据显示,当前该项目地板价为7.5ETH。[2022/8/29 12:55:00]
美国FBI、CISA、财政部提醒公众警惕Karakurt勒索软件攻击:6月4日消息,根据美国联邦调查局、网络安全和基础设施安全局(CISA)和美国财政部最新发布的警报,Karakurt数据勒索集团正在盗取受害者的数据,以索要2.5万至1300万美元的比特币赎金。
美国情报机构称,Karakurt团伙的受害者没有报告他们的设备或文件被加密了,但该团伙成员威胁说,除非收到赎金,否则他们将拍卖被盗数据或向公众公布数据。
根据CISA的警告,受害者通常有一周的时间来支付赔偿金。但相关机构敦促受害者不要付款,因为有大量证据表明,即使支付了赎金,Karakurt也会保留被盗信息。这些机构解释称,很多时候,该组织夸大了实际窃取了多少数据或其窃取数据的价值。(The Record)[2022/6/4 4:01:51]
NFT项目Akutars:将向Pass持有者发放0.5 ETH退款,同时开启空投:4月23日消息,NFT项目Akutars在推特上发布有关“11539 ETH(价值3400万美元)被永久锁定”事件的进展:
- 将向Pass持有者发放0.5 ETH退款,预计下周一进行;
- Akutars将开启空投,并审计合约确保准确性,预计周日进行。请等待官方公布Akutar OpenSea链接。
今日早些时候消息,因合约实现逻辑问题,Akutars的11,539.5 ETH(约合3400万美元)被永久锁定在拍卖合约中。[2022/4/24 14:44:26]
郑重声明: Aku项目方价值3,400万美元ETH被永久锁定,系合约实现逻辑问题版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。