近期新 NFT 項目 「 Akutar 」因合約漏洞導致高達 11,539 顆以太幣( ETH )(價值約 3,400 萬美元)的資金慘遭永久說定,項目方及用戶皆無法取得資金和退款。
由美國大聯盟前職業棒球選手 Micah Johnson 創作的加密 NFT 角色 Aku 在本月 23 日宣布推出延伸 NFT 項目「 Akutars 」。該項目共推出 1.5 萬個獨特的 3D 頭像 NFT ,并通過可退款荷蘭式拍賣公售,但由於合約出現漏洞,被作惡者發現并利用後導致 11,539 顆 ETH 被永久鎖定在 AkuDreams 合約中,目前無論是項目方還是用戶都無法將資金取出。
可退款荷蘭式拍賣公售
Akutar 採用可退款荷蘭式拍賣公售,即價格按照特定的時間間隔內逐漸向下調整。 Akutar 公售價格為 3.5 ETH 起標,每 6 分鐘降低 0.1 ETH ,在結束拍賣時最低出價將成為 NFT 的統一出售價格,而所有出價更高的得標者均可獲得差價退款。此外, Akutar Pass NFT 的持有者還可額外獲得 0.5 ETH 的折扣。
合約存在 2 關鍵漏洞
區塊鏈資安公司 BlockSec 針對此事件作出分析表示, AkuDreams 合約存在兩個嚴重的漏洞,第一個漏洞會造成 Dos 攻擊,第二個漏洞將導致項目資金被永久鎖定。
「第一個漏洞存在於 processRefunds 函數中。此函數存在一個循環并將會退還每個投標用戶的資金。但是,作惡者可從中介入導致所有用戶的退款失敗。幸運的是,這個漏洞還沒有被利用。
第二個漏洞存在於 claimProjectFunds 函數中,項目所有者本該通過此設計在合同中取回 ETH 。但因設計合約時出現錯誤,設計者因使用 _bidIndex 而不是 totalBids 来比较 refundProgress 。由於此邏輯錯誤,項目方索取 ETH 的要求將永遠不會被滿足,因此導致合同中的 11,539.5 ETH 可能會被永遠鎖定。 」
早有開發者提醒合約漏洞
據開發者 @0xBender 透露, Akutar 開發團隊忽略了早前發現合約漏洞的推特用戶 @notchefbob 警告,並在公售前將此警告稱為 FUD ( Fear 、Uncertainty、doubt )。
事後,開發團隊認為這次攻擊事件並非惡意,只是相應器官方注意,攻擊者在官方展開調查後就停止利用該漏洞了。團隊也承認此次攻擊是他們的錯誤,並將通過合約介入巷社區內發放退款。然而,原本要給予 Akutar Pass 的 0.5 ETH 折扣尚未發放,約已鎖住剩餘資金,他們已無法獲取。
官方也進一步表示目前正在商討下一步, NFT 仍會鑄造分發與開盒,並且就此事件進行後續處理。
