[Aku项目方价值3,400万美元ETH被永久锁定,系合约实现逻辑问题]4月23日消息,NFT项目方Akutar的11,539.5 ETH(约合3,400万美元)被永久锁定在拍卖合约。
Aku采用的是类似荷兰降价拍卖的形式,拍卖结束后会按照结束价格给用户退还超过最低价格的部分,因此这涉及refund以及total bids统计两个方面,而项目方在这两个方面均存在实现逻辑问题。
第一个漏洞,processRefunds() 会被恶意合约阻断,实现DoS攻击,也确有用户使用恶意合约阻断了processRefunds()执行,但该名用户表示只是让项目方确认问题存在,随即设置恶意合约变量,使得processRefunds()顺利执行完,因此该漏洞虽被利用,但已成功解决。
第二个漏洞,也就是真正导致项目方无法提款的关键所在,processRefunds()是按照msg.sender的数量记录在了refundProgress变量,拍卖结束项目方调用claimProjectFunds()取出合约内的ETH时,要求满足refundProgress >= totalBids,而totalBids记录的是NFT的数量,合约最终状态refundProgress数值为3669,totalBids数值为5495,从而导致项目方无法提取合约内的11539.5 ETH。
需要指出的是,在执行processRefunds()之前,参与拍卖的用户可以在三天后通过emergencyWithdraw()将个人投入的ETH取回,但由于processRefunds()的执行,导致用户的拍卖状态由未处理变为refund,从而不能再进行emergencyWithdraw()。
其它快讯:
DigiDaigaku Genesis系列NFT近24小时交易额增幅超400%:金色财经消息,OpenSea数据显示,DigiDaigaku Genesis系列NFT近24小时交易额为365 ETH,24小时交易额增幅达469%。近24小时交易额排名位列OpenSea第3。[2022/8/29 12:54:21]
Gnosis将开发以太坊客户端Erigon的Rust语言实现Akula:6月11日消息,Gnosis团队宣布停止维护以太坊客户端OpenEthereum,并将迁移到Akula项目,Akula是以太坊客户端Erigon(Erigon前身为Turbo-Geth)的Rust实现。
此前报道新的 Erigon 客户端将支持OpenEthereum 3.x目前在以太坊主网上提供的所有功能,并引入几个新概念:模块化客户端设计,实现客户端并行开发;存储以太坊状态的新“扁平”模型,占用更少的磁盘空间;对存储引擎外的数据进行预处理,使数据库写入操作速度提升一个数量级;分阶段同步技术,以提升同步速度。[2021/6/11 23:31:55]
阿根廷交易平台Abakus与CoreLedger合作将对农业资产进行代币化:1月28日消息,区块链基础设施提供商CoreLedger宣布与阿根廷点对点交易平台Abakus合作,将对大豆等农业资产进行代币化,并可将其用于和法定货币等其他资产进行交易。(CoinDesk)[2021/1/28 14:15:21]
郑重声明: Aku项目方价值3,400万美元ETH被永久锁定,系合约实现逻辑问题版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。