Back to Blog

Akutar NFT 损失 3400 万美元

Code Auditing
April 23, 2022
2 min read

我们在 @AkuDreams 合约中发现了两个严重逻辑漏洞: https://etherscan.io/address/0xf42c318dbfbaab0eee040279c6a2588fa01a961d

第一个漏洞可能导致拒绝服务 (DoS) 攻击,第二个漏洞将导致项目资金(超过 3400 万美元)被永远锁定。

漏洞 I

第一个漏洞存在于 processRefunds 函数中。该函数包含一个循环,用于退还每个竞拍用户的资金。然而,竞拍者可能是一个恶意合约,会回滚交易。这可能导致 processRefunds 函数调用回滚,所有用户的退款都将失败。幸运的是,此漏洞尚未被利用。

我们建议合约可以采取以下措施进行退款:

  • 确保只有 EOA(外部所有者账户)可以竞拍
  • 使用 ERC20 代币,例如 WETH,而不是 ETH
  • 提供一个允许用户自行领取退款的函数

漏洞 II

第二个漏洞是一个软件 bug。在 claimProjectFunds 函数中,项目所有者可以提取合约中的 Ether。然而,require(refundProgress >= totalBids, "Refunds not yet processed"); 这个 require 语句存在 bug,它应该将 refundProgress_bidIndex 进行比较,而不是 totalBids。由于这个漏洞,条件永远无法满足,合约中的 Ether(11,539.5 Ether)可能会永远被锁定。

总结

我们再次感到惊讶(继昨天的 NBA NFT 事件之后),一个备受瞩目的项目怎么会忽视基本的软件安全实践。至少,项目应该编写足够的测试用例。不幸的是,我们怀疑项目方可能因为太忙而未能编写测试用例,最终损失了 3400 美元。

关于 BlockSec

BlockSec 是一家开创性的区块链安全公司,由一群全球知名的安全专家于 2021 年创立。公司致力于提升新兴 Web3 世界的安全性和可用性,以促进其大规模采用。为此,BlockSec 提供智能合约和 EVM 链安全审计服务,Phalcon 平台用于安全开发和主动阻止威胁,MetaSleuth 平台用于资金追踪和调查,以及 MetaDock 扩展,供 Web3 构建者在加密世界中高效冲浪。

截至目前,公司已为 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 等 300 多家知名客户提供服务,并通过两轮融资从 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等知名投资者那里获得了数千万美元的投资。

官方网站:https://blocksec.com/

官方推特账号:https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit