NFT項目Akutars資金鎖定事件簡析_PRO

據慢霧區消息，Akutars(@AkuDreams) 項目拍賣合約由于多個代碼缺陷導致 11,539.5 枚 ETH 永久無法取出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. Akutars 拍賣合約中存在 bid 與 processRefunds 功能，用戶分別可以進行拍賣出價與退款操作。

2. 在拍賣結束后發起 processRefunds 退款操作時拍賣合約將遍歷出價用戶，并通過低級調用 call 為用戶進行退款，但并未限制這一調用的 gasLimit。而未做此 gasLimit 限制的情況下，拍賣合約將使用發起者的全部 gas 進行外部調用。

數據：10月Immutable X上NFT銷售額達2300萬美元，僅次于以太坊和Solana:11月1日消息，Delphi Digital研究員Teng發推稱，10月份Immutable X上的NFT銷售額達2300萬美元，僅次于以太坊（2.96億美元）和Solana（6000萬美元），高于緊隨其后的Polygon（1300萬美元）和Flow（1000萬美元）。[2022/11/1 12:02:52]

3. 但由于 Akutars 拍賣合約并不限制合約參與拍賣，因此“惡意用戶”可以使用合約參與拍賣，并在其合約的接收以太函數中寫入惡意消耗 gas 的邏輯，使得在進行退款流程時觸發此用戶合約，進而惡意消耗了調用發起者的全部 gas，直接導致后續退款無法正常進行。

ConsenSys創始人：NFT將是企業的下一個目標:8月2日消息，區塊鏈軟件公司ConsenSys首席執行官兼創始人Joe Lubin在7月29日舉行的企業以太坊聯盟（EEA）周年紀念活動中的\"以太坊和Web3的未來 \"的主題會議上表示，從更廣泛的角度來看，NFT已經成為一場革命，將改變軟件的構建和交付方式。

Lubin認為，NFT不會只是通過數字藝術品或音樂來封裝內容，NFT最終將演變成具有自己權利的整個商業體系，將是企業繼以太坊后的下一個目標。（Cointelegraph）[2021/8/2 1:29:58]

4. 幸運的是此“惡意用戶”僅僅只是做了風險驗證測試，最終解除了惡意消耗 gas 的邏輯使得退款可以繼續順利進行。當然用戶也可以在拍賣結束的 3 天后進行緊急退款。

Minecraft或將于年內推出NFT:據Coincheck官方公告消息，日本加密貨幣交易所Coincheck與區塊鏈資產發行平臺Enjin已開始就可在Minecraft中使用的NFT進行合作。通過此次合作，該NFT將于2020年年內啟動。[2020/9/10]

5. 在用戶退款完成后項目方可以通過 claimProjectFunds 功能提取合約中的拍賣所得。但拍賣合約在用戶進行 bid 時使用 totalBids 與 bidIndex 記錄用戶所拍的數量與出價次數，而用戶是可以在一次出價中任意選擇所拍的數量的，因此在拍賣結束 totalBids 實際上大于 bidIndex。當前 totalBids 為 5495，bidIndex 僅為 3669。

6. 但在 claimProjectFunds 函數中卻要求 refundProgress 退款數必須大于等于 totalBids，項目方本意應是為了保證全部用戶完成退款后才可進行取款。而實際上 refundProgress 是根據出價人總數進行計算的，也就是全部退款完成 refundProgress 也只是會等于 bidIndex。這就出現了 refundProgress 永遠不會大于 totalBids 的情況。最終導致合約中 11,539.5 枚 ETH 永遠無法取出。

綜上，即使在用戶無法退款問題被解決的情況下，由于出價人數與拍賣數量的計數不一致以及項目方取款函數的缺陷，最終都會導致 Akutars 資金被永久鎖住的結果。

Tags：BIDNFTPROUNDbidr幣有什么用SNFTProjekt Diamondthunder幣平臺

比特幣行情