驚現低級漏洞？簡析NFT項目Akutar資金鎖定事件_FUND

2022年4月23日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析，結果如下。#1事件相關信息

4月23日消息，Solidity開發者foobar發推稱，11539ETH被永久鎖定在AkuDreams合約中，個人用戶或開發團隊都無法取出資金。退款處理完成后，將每個出價狀態設置為1。因此，用戶無法調用emergencyWithdraw()。此外，團隊也無法領取資金，基本上等于銷毀。

大型交易經紀商TP ICAP上線Fusion數字資產交易平臺:金色財經報道，大型交易經紀商TP ICAP宣布，在其Fusion數字資產平臺上處理了第一筆加密貨幣交易。該機構平臺以類似于傳統金融市場的方式隔離了交易過程，由獨立的供應商執行交易執行、托管和結算。去年，它獲得了英國監管機構FCA的批準，成為一家加密貨幣交易所。

第一筆交易是比特幣兌美元，它最初也將支持以太坊。Fidelity Digital Assets是第一個支持的托管機構，并計劃增加更多。[2023/5/24 22:14:53]

成都鏈安技術團隊立刻進行了分析。漏洞合約：0xf42c318dbfbaab0eee040279c6a2588fa01a961d#2漏洞分析

ImmutableX開發公司Immutable宣布三項新的人事任命，新增CFO、CMO:3月8日消息，以太坊Layer 2擴展解決方案ImmutableX背后開發公司Immutable宣布了三個人事任命，原高級副總裁Jason Suen提升為首席商務官，新增首席財務官David Bicknell和首席營銷官Devon Ferreira。

據了解，Ferreira曾負責Avalanche的營銷和品牌開發工作，Bicknell曾在Meta、Twitter和其他幾家公司工作，Suen曾在Shopify和其他公司工作。

此前消息，上個月末，在第二輪裁員中， Immutable解雇了11%的員工，目前員工人數為263人。（The Block）[2023/3/8 12:50:10]

Akutar項目的智能合約包含2個漏洞：漏洞一：

Soulbis創始人：澳洲政府在早期階段對加密貨幣資產的稅收采取強制措施是不明智的:金色財經報道，加密貨幣交易所運營商和區塊鏈咨詢公司Soulbis創始人Mitchell Travers針對澳大利亞將對加密貨幣征稅一事表示，這一消息可能源于澳大利亞秘密決定在未來測試銀行發行的數字貨幣，該國可能不希望與上述貨幣有任何競爭。

如果政府真的在早期階段對加密貨幣資產的稅收采取強制措施，那是不明智的，特別是因為財政部也在投資，試圖將支持我們金融系統的傳統技術系統遷移到數字資產上。如果他們強制執行數字資產的稅收，然后在沒有明確定義什么代幣等于什么稅收待遇的情況下推出自己的CBDC，這將是一種諷刺性的對立。

金色財經此前消息，澳大利亞宣布出于稅收目的，將繼續將數字貨幣視為實物資產而非外幣。澳大利亞政府現在準備引入完整的立法來鞏固這一決定。這意味著該國所有出售資產獲利的投資者都將繳納資本利得稅，而這些稅款往往相當昂貴。[2022/11/27 20:55:26]

1.第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款。2.而這里使用了call函數進行退款操作，且把退款的結果作為require的判定條件。

Huobi否認將與Poloniex合并:金色財經報道，Huobi在一份電子郵件中表示，我們鄭重聲明，有關Huobi將很快與Poloniex合并的傳言是絕對不真實的，Huobi和Poloniex現在是獨立運營的。

金色財經此前報道，知情人士透露，孫宇晨正將交易所Poloniex與Huobi合并。[2022/11/26 20:47:19]

3.因此如果此時有攻擊者在隊列中進行退款操作，調用call退款給攻擊者時，攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里，從而導致隊列后面的所有人都無法進行退款。

4.這個漏洞被人在鏈上證明有效，但隨后攻擊合約便進行了解鎖，并沒有進行攻擊利用，且公開進行了申明。

漏洞二：

該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。1.在claimProjectFunds函數中，該函數主要用于項目方提款。為了避免項目方權限過大，在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款，所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說，是沒有問題的。然而，在具體的代碼實現中，當前的代碼容易受到漏洞一的影響，導致項目方無法提款，不過這只是潛在的風險，本次資金鎖死的元兇不是這個原因。2.注意函數中第620行代碼：require此處refundProgress表示已經處理了多少個用戶的退款，totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT，導致單從數值上比較，refundProgress可能小于totalBids。

而再來看看退款函數processRefunds中：require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶，refundProgress永遠不會高于bidIndex。

此時來看看bidIndex的值，為3669：

totalBids的值為5495：

3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立，最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比，開發者犯了一個很低級的錯誤。最終，導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。#3總結

針對本次事件，成都鏈安技術團隊建議：1.開發者應具備基本的安全開發意識，熟悉智能合約開發應注意的安全問題；2.在合約設計和實現時，注意代碼實現的正確性，項目上線前，可選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：FUNDUNDFUNPROg9tro Crowdfunding PlatformSUNDERNFUNMajor Protocol

加密貨幣