NFT項目驚現低級漏洞，合約未審計導致3400萬美元資產被鎖死_PRO

2022年4月23日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。成都鏈安技術團隊第一時間對事件進行了分析，結果如下。

#1事件相關信息

4月23日消息，Solidity開發者foobar發推稱，11539ETH被永久鎖定在AkuDreams合約中，個人用戶或開發團隊都無法取出資金。退款處理完成后，將每個出價狀態設置為1。因此，用戶無法調用emergencyWithdraw()。此外，團隊也無法領取資金，基本上等于銷毀。?

數據：2022年超6萬名Web3開發者加入加密行業，環比增加25.8%:1月18日消息，據Electric Capital最新報告中數據顯示，2022年共計61,127名Web3開發人員加入加密行業，創下歷史記錄，比2021年增加25.8%。其中，全職開發人員（對76%Github提交做出貢獻的開發者）增加15.2%，人數超過7000人。每月活躍Web3開發者人數增加5.4%，超過23,300人。

以太坊仍主導開發者活動，其全職開發者人數增加了9%至1,873人，這超過了接下來三個最多生態開發者人數的總和：Polkadot(752名)、Cosmos(511名)和Solana(383名)。此外，Electric Capital表示，因部分項目為閉源，預估實際Web3開發者數量要遠超于此。[2023/1/18 11:18:37]

成都鏈安技術團隊立刻進行了分析。

加密KOL：FTX 攻擊者已將至少410萬美元被盜資產轉移到OKX:11月29日消息，加密 KOL ZachXBT 發推稱，FTX 攻擊者在使用比特幣混幣器 ChipMixer 后將一部分被盜資金轉移到 OKX，目前至少已向 OKX 發送了 410 萬美元（255 BTC）。其轉移資金方式基本都遵循使用 ChipMixer 后將 50% 資金存入 OKX，另外 50% 資金剝離（peel off）。ZachXBT 表示，FTX 攻擊者在使用 Ren Bridge 后于11月20日開始將 BTC 存入 ChipMixer。

此前慢霧曾發文介紹洗幣手法剝離鏈（Peel Chain）技術，該技術一方面是因為每次單獨轉移的金額很小，幾乎不會引發交易平臺的風控提醒，另一方面是由于這種洗幣鏈路極度冗長和復雜，會使他們盜取的資產變得極難追蹤。[2022/11/30 21:11:13]

漏洞合約：

ApeCoin發起新提案AIP-121：擬提升生態系統資金分配透明度:金色財經報道，ApeCoin DAO社區發起新提案AIP-121“生態系統基金分配透明度法案”，旨在提高ApeCoin DAO的資金透明度。該提案希望提高涉及生態系統基金分配的AIP的透明度，加強投票過程并規范定期報告，將APE資金庫將得到更好的保護，包括費用公示、團隊成員披露、月度報告。據悉，該提案將在11月23日下周三之前進行投票，通過后預計會在兩周內實施。[2022/11/18 13:20:09]

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

#2?漏洞分析

Akutar項目的智能合約包含2個漏洞：

漏洞一：

1.第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款。

2.而這里使用了call函數進行退款操作，且把退款的結果作為require的判定條件。

3.因此如果此時有攻擊者在隊列中進行退款操作，調用call退款給攻擊者時，攻擊者在fallback中進行進行惡意的revert則會導致退款隊列卡在攻擊者這里，從而導致隊列后面的所有人都無法進行退款。

4.這個漏洞被人在鏈上證明有效，但隨后攻擊合約便進行了解鎖，并沒有進行攻擊利用，且公開進行了申明。

漏洞二：

該漏洞也是導致價值約3400萬美元的ETH資產被鎖死在合約中的元兇。

1.在claimProjectFunds函數中，該函數主要用于項目方提款。為了避免項目方權限過大，在用戶完成提款之前就將合約中的資產全部轉走導致用戶無法退款，所有的退款操作應全部完成之后項目方才能夠提款。業務邏輯設計上來說，是沒有問題的。然而，在具體的代碼實現中，當前的代碼容易受到漏洞一的影響，導致項目方無法提款，不過這只是潛在的風險，本次資金鎖死的元兇不是這個原因。

2.注意函數中第620行代碼：require此處refundProgress表示已經處理了多少個用戶的退款，totalBids表示所有用戶總投標了多少個NFT。注意由于一個用戶可以投標多個NFT，導致單從數值上比較，refundProgress可能小于totalBids。

而再來看看退款函數processRefunds中：require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶，refundProgress永遠不會高于bidIndex。

此時來看看bidIndex的值，為3669：

totalBids的值為5495：

3.所以refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立，最終導致項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比，開發者犯了一個很低級的錯誤。最終，導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

#3?總結

針對本次事件，成都鏈安技術團隊建議：

1.開發者應具備基本的安全開發意識，熟悉智能合約開發應注意的安全問題；

2.在合約設計和實現時，注意代碼實現的正確性，項目上線前，可選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：UNDPROFUNDFUNSeedify.fundZcon ProtocolsmartfundFunction X

FTX