Back to Blog

Akutar NFT 如何損失 3,400 萬美元

Code Auditing
April 23, 2022
2 min read

我們發現 @AkuDreams 合約 中存在兩個嚴重的邏輯漏洞。第一個漏洞可能會導致拒絕服務(DoS)攻擊,而第二個漏洞將導致項目資金(超過 3400 萬美元)被永久鎖定。

漏洞一

第一個漏洞存在於 processRefunds 函數中。此函數包含一個用於退還每位出價用戶資金的迴圈。然而,出價者可能是一個會導致交易撤回(revert)的惡意合約。這可能會導致 processRefunds 的調用失敗,進而導致所有用戶的退款都無法成功。幸運的是,此漏洞尚未被利用。

我們建議合約可以採取以下措施來進行退款:

  • 確保只有外部帳戶(EOA)可以參與出價
  • 使用 ERC20 代幣(例如 WETH)代替 ETH
  • 提供讓用戶可以自行領取退款的函數

漏洞二

第二個漏洞是一個軟體缺陷。在 claimProjectFunds 函數中,項目所有者可以領取合約中的以太幣。然而,其中的 require(refundProgress >= totalBids, "Refunds not yet processed"); 語句存在錯誤,它應該將 refundProgress_bidIndex 進行比較,而不是 totalBids。由於這個漏洞,該條件永遠無法滿足,合約中的以太幣(11,539.5 枚 Ether)可能會被永久鎖定。

總結

繼昨日的 NBA NFT 事件後,我們再次對高知名度項目竟然忽視基本軟體安全實踐感到驚訝。至少,該項目應該編寫足夠的測試案例。遺憾的是,我們懷疑這些項目因過於忙碌而沒有編寫測試案例,最終導致 3400 萬美元永久損失。

關於 BlockSec

BlockSec 是一家開創性的區塊鏈安全公司,由一群全球傑出的安全專家於 2021 年創立。公司致力於提升新興 Web3 世界的安全性和易用性,以促進其大規模採用。為此,BlockSec 提供智慧合約與 EVM 鏈安全審計服務、用於安全開發與主動威脅防禦的 Phalcon 平台、用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 開發者高效瀏覽加密世界的 MetaDock 擴充功能。

迄今為止,公司已為包括 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 在內的 300 多家知名客戶提供服務,並從 Matrix Partners、Vitalbridge Capital 和分布式資本(Fenbushi Capital)等傑出投資者手中獲得了兩輪共數千萬美元的融資。

官方網站:https://blocksec.com/

官方 Twitter 帳號:https://twitter.com/BlockSecTeam

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit