Armors團隊發現NFT項目Akutars因未對合約進行安全審計_ARM

4月23日，NFT項目Akutars 在社交媒體上發布了有關11,539ETH（價值3400萬美元）被永久鎖定的消息。

Armors Company Limited分析了Akutars事件，得出此次被永久鎖定的根本原因為合約上線前代碼未經安全機構審計，上線后因其合約實現邏輯漏洞問題導致價值3400萬美元的ETH永久被鎖死在合約中，用戶和開發團隊都無法取出資金，這部分資金等同于被銷毀狀態。

Akutars表示，本次合約漏洞主要因項目方的失誤造成，并非被人為惡意利用合約漏洞，被鎖定的ETH已無法退還，團隊正在緊急協商應對措施，將盡快鑄造NFT給用戶。

比特幣礦企Bitfarms算力達到5EH/s創歷史新高:金色財經報道，比特幣礦企Bitfarms算力達到5 EH/s。該公司位于阿根廷Cuarto的礦場去年開始運營，推動算力創歷史新高。

阿根廷礦場立即將Bitfarms的算力從2021年9月投入使用時的3.9 EH/s提高到4.1 EH/s。Bitfarms利用該地區低能源成本的優勢，繼續提高其算力。該公司現在宣布，隨著其業務在阿根廷擴張，目標是到今年年底算力達到6 EH/s。

Bitfarms在阿根廷的挖礦業務擴張是其近期增長的主要推動力。該公司已經能夠利用該地區的低能源成本來提高其算力并降低比特幣挖礦的總體成本。該礦場的能源成本目前低于每千瓦時0.03美元。

此前消息，截至2023年3月31日，Bitfarms總算力為4.8 EH/s，環比增長2%，同比增長78%。此外，Bitfarms有2900萬美元的現金和等價物，435枚比特幣被托管，2200萬美元的供應商信貸，總債務只有2100萬美元。（Cryptopolitan）[2023/4/30 14:35:00]

Armors Company Limited將此次事件整理分析一下，提醒項目方朋友將來以此為鑒。?

Harmony團隊在鏈上對Horizo??n Bridge攻擊者發出談判請求，未得到回復:6月24日消息，Etherscan頁面顯示，在今日6:28和10:40進行的交易記錄中，Harmony團隊兩次向Horizo??n Bridge攻擊者發出請求：“Harmony團隊對溝通和談判感興趣。 請聯系官方郵箱開始對話。 通信可以是匿名的。 ”但目前黑客并未對此進行回復。

此外，Harmony團隊今日11:37發推文稱，Harmony正在處理，將繼續與FBI和多家網絡安全公司一起進行調查。

此前消息，以太坊與Harmony間跨鏈橋Horizo??n遭遇攻擊，損失約1億美元。[2022/6/24 1:28:48]

Akutars漏洞合約地址如下：

PlatoFarm在Tokensoft平臺完成100萬Plato的發售:據官方消息，元宇宙鏈游項目PlatoFarm于美東時間1月15日10點在Tokensoft平臺完成100萬Plato的發售。本次參與用戶共計1.3萬人，10分鐘內在線等待人數超過5000，ETHgas短時漲幅達30%，本次IDO完成后，PlatoFarm將以5億美金的市場估值項目上線。目前Tokensoft上已經進行了超過75個項目的啟動，參與投資者70萬余人，平臺募集資金超過3.6億美元，總體項目估值超過400億美元。此前Tokensoft進行過AVAX、Taraxa、TheGraph、Acala等項目的募資啟動。據悉，PlatoFarm是一款支持HRC721，HRC1155和ERC1155協議的NFT游戲協議。玩家的任務是在小農場種植植物和飼養牲畜，以賺取MARK和PLATO代幣。在IDO之前，PlatoFarm已獲得來自Huobi、Okex、Blockventure、Zbs、Op等20多家機構的投資。[2022/1/16 8:52:46]

0xf42c318dbfbaab0eee040279c6a2588fa01a961d

XT將推出100個Swarm節點:據官方消息，XT將推出100個Swarm節點，單價為888USDT，每名用戶最多購買1個節點。目前XT已與Swarm官方投資機構達成戰略合作關系，對于后期Swarm和XT生態合作提供保障。Swarm投資方包括 Alphemy Capital、Bitscale Capital、Waterdrip Capital、DFG、KR1、HashKey等。

據悉，XT是一家社交化交易平臺。[2021/6/10 23:27:45]

Akutars項目采用的是類似荷蘭降價拍賣的形式，拍賣結束后會按照結束價格給用戶退還超過最低價格的部分。這涉及了refund以及total bids統計兩個方面，而項目方的合約在這兩個方面都存在著實現邏輯問題。

首先，來看第一個合約漏洞。processRefunds會被惡意合約阻斷，實現DOS攻擊，也的確有用戶使用惡意合約阻斷了processRefunds執行，但該名用戶表示只是讓項目方確認問題存在，隨即設置惡意合約變量，使得processRefunds順利執行完。這個漏洞被人在鏈上證明有效，隨后攻擊合約便進行了解鎖，并沒有進行攻擊利用且公開進行了申明，說明這個漏洞并不是此次資金被鎖定的原因所在。?

接下來的第二個漏洞，才是這次事件的真正元兇，導致了資金被永久鎖定在合約中并無法提款。我們看到在Akutars合約中，processRefunds是按照msg.sender的數量記錄在了refundProgress變量，拍賣結束項目方調用claimProjectFunds取出合約內的ETH時，要求滿足refundProgress>=totalBids。而totalBids記錄的是NFT的數量，合約最終狀態refundProgress 數值為3669，totalBids數值為5495。

也就是說，這里的refundProgress>=5495且refundProgress<3669，這個判斷條件永遠不會成立，最終導致了項目方團隊自己也將永遠無法執行后續的提款操作，此處應將refundProgress與bidIndex做對比。這是Akutars開發者犯的一個很不應該的嚴重錯誤。最終，直接導致了項目方11539ETH被鎖定無法提取。

這里還需要指出的是，在執行processRefunds之前，參與拍賣的用戶可以在三天后通過 emergencyWithdraw將個人投入的ETH取回，但由于processRefunds的執行，導致用戶的拍賣狀態由未處理變為refund，從而不能再進行emergencyWithdraw。

通過以上分析，我們看出由于Akutars項目方上線前沒有對其智能合約進行安全審計，上線后才導致發生了這次資金被永久鎖定在合約中無法提取的嚴重事件。

Armors Company Limited曾不止一次的強調合約安全審計的重要性和必要性，還有很多項目方存在著僥幸心理，覺得問題不會發生在自己項目身上。往往就是抱有的這種僥幸心態，是安全事件頻發的原因。項目方開發者應具備基本的安全開發意識，熟悉智能合約開發應注意的安全問題，也務必把合約代碼安全當成重中之重，審計是保證代碼安全的關鍵因素，因此合約代碼找行業內正規的安全公司進行審計，并定期檢查更新。Armors Company Limited同時提醒項目方，上線后要注意加強數據的安全監控。如果項目方合約代碼是通過正規審計機構全面合規審計的，就能有效避免安全事件的發生。

Armors Company Limited安全機構成立于2017年，是行業最早成立的專業區塊鏈安全機構之一。Armors Company Limited是Polygon、BSC、Ethereum、Solana等公鏈審計合作伙伴，已為超過2000家區塊鏈平臺、交易所、錢包、DApp等機構和項目提供安全審計、滲透測試、跨鏈遷移、平臺安全等各方面保障及服務。成立以來，Armors Company Limited已為客戶挽回超過32000個BTC的資產損失。

Tags：ARMFUNFUNDUNDWanaka Farm WAIRERE TokenFUNDZUBIEX FUND

PEPE