NFT項目Akutars資金鎖定事件簡析_BID

據慢霧區消息，Akutars(@AkuDreams) 項目拍賣合約由于多個代碼缺陷導致 11,539.5 枚 ETH 永久無法取出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. Akutars 拍賣合約中存在 bid 與 processRefunds 功能，用戶分別可以進行拍賣出價與退款操作。

2. 在拍賣結束后發起 processRefunds 退款操作時拍賣合約將遍歷出價用戶，并通過低級調用 call 為用戶進行退款，但并未限制這一調用的 gasLimit。而未做此 gasLimit 限制的情況下，拍賣合約將使用發起者的全部 gas 進行外部調用。

Vividthree Holdings Ltd宣布將推出其首個漫畫NFT:12月10日消息，橫跨數字娛樂鏈的多元化娛樂公司Vividthree Holdings Ltd宣布將推出其首個NFT。該集團正在開發受歡迎的網絡漫畫IP“Silent Horror”中人物的數字收藏品。

Silent Horror標志性角色的NFT銷售第一階段將于2021年12月開啟。角色將在區塊鏈上轉化為數字收藏品，供漫畫迷和NFT收藏家在Opensea上購買。（asiaone）[2021/12/10 7:30:18]

3. 但由于 Akutars 拍賣合約并不限制合約參與拍賣，因此“惡意用戶”可以使用合約參與拍賣，并在其合約的接收以太函數中寫入惡意消耗 gas 的邏輯，使得在進行退款流程時觸發此用戶合約，進而惡意消耗了調用發起者的全部 gas，直接導致后續退款無法正常進行。

NFT市值排名前百代幣總市值現超160億美元:Coingecko數據顯示，目前市值排名前百NFT代幣總市值現超160億美元，約為161.71億美元。按照市值排名，目前前三的NFT代幣分別是THETA（61.9億美元）、XTZ（24.3億美元）和CHZ（12.7億美元）。[2021/7/3 0:24:54]

4. 幸運的是此“惡意用戶”僅僅只是做了風險驗證測試，最終解除了惡意消耗 gas 的邏輯使得退款可以繼續順利進行。當然用戶也可以在拍賣結束的 3 天后進行緊急退款。

L'Atelier CEO：ETH可能是比NFT“安全得多”的投資:3月26日消息，法國巴黎銀行子公司L'Atelier首席執行官John Egan表示，以太坊目前可能是比NFT“安全得多”的投資。Egan表示，這是因為以太坊為NFT提供了基礎設施：“跟NFT相比，以太坊顯然強多了。因此，從以太坊和以太坊鄰近基礎設施入手，目前可能是一種非常安全的投資。”另一方面，根據Egan的說法，在這個階段購買NFT就像是在賭場賭博。L'Atelier通過研究和分析，給出了數字和虛擬領域的趨勢。Egan表示，NFT“在很大程度上是一種新興資產”，目前存在風險。（The Block）[2021/3/26 19:21:12]

5. 在用戶退款完成后項目方可以通過 claimProjectFunds 功能提取合約中的拍賣所得。但拍賣合約在用戶進行 bid 時使用 totalBids 與 bidIndex 記錄用戶所拍的數量與出價次數，而用戶是可以在一次出價中任意選擇所拍的數量的，因此在拍賣結束 totalBids 實際上大于 bidIndex。當前 totalBids 為 5495，bidIndex 僅為 3669。

6. 但在 claimProjectFunds 函數中卻要求 refundProgress 退款數必須大于等于 totalBids，項目方本意應是為了保證全部用戶完成退款后才可進行取款。而實際上 refundProgress 是根據出價人總數進行計算的，也就是全部退款完成 refundProgress 也只是會等于 bidIndex。這就出現了 refundProgress 永遠不會大于 totalBids 的情況。最終導致合約中 11,539.5 枚 ETH 永遠無法取出。

綜上，即使在用戶無法退款問題被解決的情況下，由于出價人數與拍賣數量的計數不一致以及項目方取款函數的缺陷，最終都會導致 Akutars 資金被永久鎖住的結果。

Tags：NFTBIDPROFUNNFTN價格BIDR價格Smart Content ProtocolNFUN價格

SOL