比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > BTC > Info

ARM:Armors團隊發現NFT項目Akutars因未對合約進行安全審計

Author:

Time:1900/1/1 0:00:00

4月23日,NFT項目Akutars 在社交媒體上發布了有關11,539ETH(價值3400萬美元)被永久鎖定的消息。

Armors Company Limited分析了Akutars事件,得出此次被永久鎖定的根本原因為合約上線前代碼未經安全機構審計,上線后因其合約實現邏輯漏洞問題導致價值3400萬美元的ETH永久被鎖死在合約中,用戶和開發團隊都無法取出資金,這部分資金等同于被銷毀狀態。

Akutars表示,本次合約漏洞主要因項目方的失誤造成,并非被人為惡意利用合約漏洞,被鎖定的ETH已無法退還,團隊正在緊急協商應對措施,將盡快鑄造NFT給用戶。

匯款公司Tempo France與Armenotech合作提高Stellar區塊鏈采用:1月20日消息,匯款公司Tempo France與總部位于塞浦路斯的達成Armenotech合作,以提升Stellar區塊鏈在全球領域的集成。通過這次合作,兩家公司將在各種業務上進行合作,包括共同參與國際匯款項目,以及在支付市場推出新產品。Armenotech現在是Tempo France的全方位IT基礎設施提供商。其最值得關注的產品包括基于Stellar區塊鏈的處理和交易監控。

通過與Tempo France的合作,Armenotech可以獲得涉及匯款和支付的各種新項目。雙方還強調了Stellar區塊鏈對傳統法定貨幣轉賬的適應性,這可以提高速度和透明度,同時降低成本。(The Paypers)[2023/1/20 11:23:23]

Armors Company Limited將此次事件整理分析一下,提醒項目方朋友將來以此為鑒。?

礦企Bitfarms 10月份產出486枚BTC,Q3共產出1515枚比特幣:11月14日消息,比特幣礦企Bitfarms公布第三季度業績報告,共開采了1515枚比特幣,與第二季度相比將直接生產成本降低了5%,至每比特幣9,400美元。三季度共售出2,595BTC,總收益為5,600萬美元。在2022年10月期間,總計開采486枚比特幣,產生了1000萬美元的收益。三季度末運營哈希率為4.2EH/s,比2022年6月30日增長17%。自6月1日以來開始去杠桿化,已經償還了9400萬美元的債務。[2022/11/14 13:04:13]

Akutars漏洞合約地址如下:

Harmony正在開發Harmony-ETH跨鏈橋:6月15日消息,公鏈Harmony表示,正在開發無需信任的ETH跨鏈橋, 團隊正構建代碼。Harmony-ETH跨鏈橋將完全無需信任,改進我們當前的Horizon橋。[2022/6/15 4:26:52]

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

Akutars項目采用的是類似荷蘭降價拍賣的形式,拍賣結束后會按照結束價格給用戶退還超過最低價格的部分。這涉及了refund以及total bids統計兩個方面,而項目方的合約在這兩個方面都存在著實現邏輯問題。

加密貨幣礦業公司Digital Farms暫停運營:由于最近比特幣價格下跌,位于美國加利福尼亞州的加密貨幣礦業公司Digital Farms暫停運營。Digital Farms母公司DPW稱,國內外史無前例的市場狀況以及新冠肺炎的爆發將持續對公司的運營和財務業績產生影響,Digital Farms的加密貨幣挖礦業務已無限期暫停。(CoinDesk)[2020/3/28]

首先,來看第一個合約漏洞。processRefunds會被惡意合約阻斷,實現DOS攻擊,也的確有用戶使用惡意合約阻斷了processRefunds執行,但該名用戶表示只是讓項目方確認問題存在,隨即設置惡意合約變量,使得processRefunds順利執行完。這個漏洞被人在鏈上證明有效,隨后攻擊合約便進行了解鎖,并沒有進行攻擊利用且公開進行了申明,說明這個漏洞并不是此次資金被鎖定的原因所在。?

接下來的第二個漏洞,才是這次事件的真正元兇,導致了資金被永久鎖定在合約中并無法提款。我們看到在Akutars合約中,processRefunds是按照msg.sender的數量記錄在了refundProgress變量,拍賣結束項目方調用claimProjectFunds取出合約內的ETH時,要求滿足refundProgress>=totalBids。而totalBids記錄的是NFT的數量,合約最終狀態refundProgress 數值為3669,totalBids數值為5495。

也就是說,這里的refundProgress>=5495且refundProgress<3669,這個判斷條件永遠不會成立,最終導致了項目方團隊自己也將永遠無法執行后續的提款操作,此處應將refundProgress與bidIndex做對比。這是Akutars開發者犯的一個很不應該的嚴重錯誤。最終,直接導致了項目方11539ETH被鎖定無法提取。

這里還需要指出的是,在執行processRefunds之前,參與拍賣的用戶可以在三天后通過 emergencyWithdraw將個人投入的ETH取回,但由于processRefunds的執行,導致用戶的拍賣狀態由未處理變為refund,從而不能再進行emergencyWithdraw。

通過以上分析,我們看出由于Akutars項目方上線前沒有對其智能合約進行安全審計,上線后才導致發生了這次資金被永久鎖定在合約中無法提取的嚴重事件。

Armors Company Limited曾不止一次的強調合約安全審計的重要性和必要性,還有很多項目方存在著僥幸心理,覺得問題不會發生在自己項目身上。往往就是抱有的這種僥幸心態,是安全事件頻發的原因。項目方開發者應具備基本的安全開發意識,熟悉智能合約開發應注意的安全問題,也務必把合約代碼安全當成重中之重,審計是保證代碼安全的關鍵因素,因此合約代碼找行業內正規的安全公司進行審計,并定期檢查更新。Armors Company Limited同時提醒項目方,上線后要注意加強數據的安全監控。如果項目方合約代碼是通過正規審計機構全面合規審計的,就能有效避免安全事件的發生。

Armors Company Limited安全機構成立于2017年,是行業最早成立的專業區塊鏈安全機構之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴,已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來,Armors Company Limited已為客戶挽回超過32000個BTC的資產損失。

Tags:ARMFUNUNDFUNDshibarmy幣總量多少FUN價格THUNDERBNB幣smartfund

BTC
區塊鏈:2021世界區塊鏈大會:游戲是元宇宙的一部分 開放設計需要建立在世界規則統一基礎上

7月25日,2021世界區塊鏈大會·杭州在杭州未來科技城學術交流中心舉辦,本次大會由杭州時戳信息科技有限公司(巴比特)主辦.

1900/1/1 0:00:00
元宇宙:元宇宙是什么?窺探扎克伯格的“元宇宙夢”

“在元宇宙里面,你感覺與其他人在一起,就如現實中的跳舞、健身一樣,不同的在于這種體驗是不能在一個2D應用程序或網頁上能做到的.

1900/1/1 0:00:00
NFT:NFT如何投資及潛力估值?|疑問解答

這兩天關于無聊猿的文章發表后,有不少讀者留言問了一些問題。今天集中解釋一下。1、NFT去哪里買?能否零碎點買入?我在文章里提到過的NFT都不是在傳統的中心化交易所里買的,都要去專門的NFT交易平.

1900/1/1 0:00:00
NFT:布局NFT平臺 加密貨幣交易所的差異化競爭

從 NBA 球星勒布朗·詹姆斯的經典扣籃鏡頭,到推特創始人杰克·多西的歷史第一條推文的 NFT 拍賣.

1900/1/1 0:00:00
NFT:五個單詞價值250萬美元 區塊鏈世界的NFT正瘋狂造富

一張圖片、一串代碼、一段視頻能賣出幾千元至幾百萬元的天價。如此神奇的事似乎很難發生在現實世界,但在瘋狂的NFT領域已經不是什么稀罕事.

1900/1/1 0:00:00
aragon:金色前哨丨Aragon:以太坊2.0部署ProgPow?我反對

金色財經 比特幣11月5日訊 Aragon已經正式宣布反對以太坊共識算法ProgPow,該算法是一項擬議的協議更改優化,旨在彌補與專用集成電路可用效率之間的差距.

1900/1/1 0:00:00
ads