搜索

Akutar NFT的3400万美金因为写错一个单词被永久锁死了?!

2022-04-25 23:45:12
13097 0 0
今天一个叫Akutar 的NFT 项目因为合约bug,导致11,539 个ETH,价值3,400 万美金、2 个亿人民币的钱永久取不出来被锁死了,2 个亿啊!




上篇写NBA 的文章写的太累了大伤元气,想休息一段时间再写的,结果web3 的世界实在是太精彩,每天发生的大新闻太多,大周末的又被迫营业。

我们打开合约地址看看这2 个亿来眼馋眼馋,想像一下Akutar 团队望着这一串数字的抱头痛哭的心情。



首先介绍一下Akutar,从官网的描述和他们twitter 可以看出,这不是一个土狗项目,相反是一个很用心的高质量项目,不论是从精细的画风还是roadmap 描述质量都很高。



它的发起人是一位知名的棒球运动员Micah Johnson,起源于他无意间听到一位黑人小男孩与母亲的对话,小男孩问母亲宇航员能否是黑人,所以Micah Johnson 决定发行一系列梦想成为宇航员的戴着头盔的黑人小男孩,一个还算美妙的故事。



那么看着这么暖心的故事背后的NFT 这么就砸了呢?从某种程度上还是项目方对于赚钱的渴望大过于所谓的暖心公益,从而搬起石头砸了自己的脚,因为它使用了一种比较独特的荷兰拍方式。

传统的拍卖方式是设置一个低价,然后大家向上叫价,最终出价最高者可购买,这是英式拍卖,荷兰式拍卖则是先设置一个最高价,然后逐渐的降价,最终有人在某个价格点出手将其买下来,荷兰拍更考验人性,因为每个人都想等最低价,但是都怕别人先于自己购买。

Azuki 就是用的是荷兰拍,但是Akutar 相比于Azuki 的拍卖方式又做了改变,Azuki 的价格是动态下降的,从而买的越晚价格越低,买的越早可能就吃了亏价格会高,Akutar 则加了一个「退款」规则,该规则看起来好像对用户更友好但是我认为实际上是想割更多的钱。

这如下图所示,拍卖起始价格是3.5 ETH,每过6 分钟降低1ETH,最终最低价格购买的人将成为标准价格,其他高于该价格购买的用户将获得退款,比如最后最低出售价格是1.5ETH,那所有高于1.5ETH出价的人均会获得差价的退款,这种实际上是想让用户放心大胆的去买,不要蹲守最低价,即使买高了也能退款。



所以Akutar 会有一个巨大的资金池用于存储所有用户交的钱,这部分钱包括项目方自己应得的,也包括需要退给用户的,这里先科普一个知识,之前的文章中也提到过,智能合约的性质和你自己个人的钱包地址是一样的,都是一个区块链地址,可以接收、发送虚拟货币,当你在mint 某个项目时,实际上是你先将钱打到项目合约地址,然后合约给你转一个NFT,即所有NFT 的一级市场发售,钱都是先到了合约地址,再由项目方去进行提款操作,将合约里面的钱提到自己的钱包中。

这次2 个亿被锁死就是因为在提款这个步骤出了bug,因为区块链智能合约不可篡改的特性使得出现了bug 是没法修的,传统互联网如果有个bug 导致钱取不出来,修复迭代就可以,但是在web3 中意味着这辈子你只能与这2 个亿隔空相望。

我们来看一下一些关键的代码都做了什么帮助大家理解原理,再分析到底是哪里出了问题。

我们先学习一下荷兰拍的原理,首先是获取当前价格,这里先获取了最新区块的时间block.timestamp,然后用当前时间减去开始时间startAt 并除以6(因为每6 分钟降价一次),从而获取应该降价几次timeElapsed,再用降价次数乘以降价金额计算出降价的总数discount,最终用起始价格startingPrice 减去降价金额得到当前应该要支付的费用。

在代码中刚才提到的这些涉及到金额的参数其实都不是预先写在合约中的,而是可以修改的变量,说明项目方给自己留了后门可以视情况随时修改金额从而更好的挥舞镰刀。



怎么获取价格清楚了,我们再看用户出价的过程都发生了什么,这部分代码太长了我就不都贴了,挑重要的讲。

先获取了上面提到的当前价格,然后乘以用户购买的数量amount,得到应该支付的总价totalPrice,再判断用户实际支付的价格value 是否大于总价,如果大于说明钱给够了接着向下执行。



这里先定义了一个报价bid 都包含了什么,分别是bidder 报价者地址,price 具体报价,bidsPlaced 总共购买数量,和finalProcess 退款状态,0 是退款,1 是已退款,2 是取消退款。



接下来到了第一个埋坑的地方: totalBids 表示当前所拍卖出去的NFT 数量,默认是0,每次有用户报价则加上用户要购买的数量amount,记住这里,等会会用到。



然后埋了第二个坑:使用了一个叫bidIndex 的参数用于存储产生报价的用户有多少人。记住这两个参数,totalBids 存储了总共卖出多少个NFT,bidIndex 存储了总共有多少人买了NFT。



再讲一下项目方为用户退款的过程,项目方要先点击一个叫processRefunds 的按钮开启退款,这个按钮背后的逻辑是把所有出价的用户全部循环处理一次,循环的次数就是刚才说的存储出价人数的bidIndex。

处理的内容是先判断该用户finalProcess 退款状态是否为0,0 表示尚未退款,如果为0 的话继续向下执行,将用户当时的报价减去最低成交价,再乘以购买数量,则等于要退给用户的差价refund。

然后将该finalProcess 用户退款从0 设置为1,表示已经完成退款,从而该用户不能再去退了。

参数refundProgress 是记录完成退款人数的,每退完一个用户就会加1,因为是按照出价人数bidIndex循环的,所以refundProgress 和bidIndex 是一致的,这里其实没有毛病,本来出价的人和退款的人就应该是一样的,但是!接着向下看!


项目方提款的逻辑是怎样的,又有什么漏洞导致其无法提款?


下图为项目方进行提款的函数,即当项目方点击claimProjectFunds 按钮后可以将钱提到自己钱包里,这里有三层校验,第一层是先验证当前是否已经结束了拍卖,如果结束进入第二层校验退款人数是否大于报价人数,其实这里项目方是好意,因为要确保每个人都退完了钱,项目方再提款,但就是这一层校验出了问题,不知道你还记不记得totalBids 是什么意思?是售出NFT 数量呀,不是报价人数!



你会问那这又怎么了呢?一个人在报价的时候是可以购买多个NFT 的呀,退款人数实际上是购买人数,你要求购买人数超过卖出NFT 数量,但是每人又可以买多个,那只要有1 个人买了2 个,就意味着购买人数永远不可能大于卖出数量,10 个人卖出了11 个,你怎么要求10 大于11 呢?

我们上etherscan 看一下,refundProgess 的数量是3,699,说明共有3,699 人报价,但是totalBids 的数量是5,495,即共卖出了5,495 个,远远超过3,699,这辈子refundProgess 都不可能大于totalBids,这2 个亿就永远被锁死在了合约中供后人观摩。



所以是项目方写错单词了,本来应该是想写bidIndex 购买人数,结果写成了totalBids 卖出数量,一个单词价值2 个亿,这应该是全世界最贵的一个单词了,大家给我狠狠的记住这个单词totalBids,就是它值2 个亿!

通过这篇文章带着大家学习了一种新的mint 方式荷兰拍以及其原理,另外带大家认识了一个2 个亿的单词totalBids。


热门回帖
热帖推荐
小宇宙大星球
小宇宙大星球
水手 船龄 9个月
UST脱锚引发的流动性危机,旁氏不是本质问题
编辑:Diane校对:ArainCIGLabs出品从5月10日晚UST脱钩以来,市场经历了“魔幻”的两天,就UST、Luna两个双生子的未来进行了激烈的讨论。CIGLabs邀请到TechFlowfounder明亮、无界版图首席经济学者吴极、Conflux的招商主任元杰、Zeroone和0x0cryptoDAO的founderRobin,以及P仔,Wendy.eth等一起来讨论UST、Luna的后市。其中,明亮称这次UST崩盘和LFG透明的持仓有关,货币市场追求的是流动性,不能过于透明;吴极表示零知识证明的技术可以解决黑箱与透明化共存的问题,Luna和Terra事件让大家痛恨旁氏骗局,但资产需要旁氏属性提供流动性;元杰则指认引发UST崩盘的是币圈索罗斯CitadelSecurities,前阵子新闻报从红杉和Paradigm融了十多亿美元。CIGLabs是CIGDAO推出的实验室,为社区成员提供创、交流的空间,并通过社区成员的贡献,形成成员与DAO之间的相互赋能。以下为Space嘉宾金句摘录:明亮:底牌公开是LFG的弱点Terra讲的是去中心化的支付宝的故事,一切核心是围绕UST。只要UST还能锚定美元,未来Luna的生态是还有机会回来的,所以Terra必须做出这样一个牺牲Luna救UST的选择。我们需要打破传统的观念,货币市场和证券市场有很大的区别。证券市场追求的是透明,货币市场追求的是流动性,而稳定币的储备透明并不一定有助于流动性。LFG把自己的BTC持仓公布于众,底牌公开对于许多专业的玩家来说就是一个数学题。任何的操作路径他都可以通过计算匹配出他需要多少筹码来应对。Terra的发家一直走的是中心化的路线,高效且圈子很封闭。而当共识慢慢破灭,尤其是大资本在Crypto亏了钱的情况下不愿意再出来兜底,那就到了创始人亲自出来去了结的阶段。认为算法的叙事不会就此湮灭,没有人能够抵挡空气印美元的诱惑,哪怕是假美元。庞氏永不眠,一定会有新的更复杂的算稳机制再次吸引大家一起去玩。吴极:资产需要有旁氏属性但不支持复杂的算稳机制LFG用比特币救市不是明智之举。当用比特币救市的时候市场上会对比特币产生抛压,特别在遭受恶意攻击的时候,这个抛压很有可能形成一个死亡螺旋的合力。零知识证明技术可以解决黑箱与透明度之间的矛盾,同时发挥两者的优点。只需要用零知识证明去证明我在一个范围之内模糊量的资产,就可以在一定程度上避免被攻击方和敌人信息不对称所造成的伤害。算稳机制不能过于复杂,否则一般用户看不懂,更容易产生无知的恐慌,最终能靠代币机制解决的问题又变成了纯粹的二级市场踩踏。。庞氏分为庞氏结构和庞氏骗局。如果资产不带旁氏属性的话,它能延伸出的价值或是流动性都会大打折扣。一定的庞氏是有一定的好处。庞氏骗局,意味着创始人开始时的目标就是夯钱,可以不完全储备,可以东转西挪。庞氏结构,则可能是非完全的资产储备,中间涵盖了隐性价值,涵盖了信心。项目的初衷是想把事做成的,便能够形成正向的共识。在这种情况下,即使不是完全储备的,也可以说是有庞氏结构的项目,但称不上庞氏骗局。我总结的Terra五层救市策略:第一层:部分储备金救市。第二层:动员项目方一齐救市(如果UST归零大家也是破产,殊死一搏一定是利益共同的选择)。第三层:融资救市。第四层:发债+打包变卖资产救市第五层:利用剩余资产,重组兜底策略。不过100%抵押兑付确实会让ust一度像个dai,这不是terra的初衷,并且流动性的减少对生态的伤害是实实在在的。Robin:UST崩盘启发我推出旁氏指数未来我会在推特和社区里推出庞氏指数,把目前市场上估值比较高的矿币模型进行分析类比。市场上存在很多不健康的矿币模型,过分依赖于新进者对于整个币价的维持,而非他本身业务所产生的利润的回馈。UST的盈利与他的新进者买入量一定是一个非常畸形的值,最终造成大的崩盘。安全审计是针对数据结构的漏洞,很少会从业务逻辑的角度进行沟通。而现在的开发已经发展到不存在有特别明细的漏洞了,而是在业务逻辑方面遭受攻击。以太坊在1500美金,BTC在16000-17000美金,就会有很多借贷协议集体崩盘和清算。这一值一旦跌破,就非常惨淡。通过计算它的旁氏,崩盘的概率和临界值,抛压多大会造成整个的螺旋下降,快速下降的启动逻辑和启动元素是什么,这些分析清楚之后,会很有利于普通的散户对于项目的观察。如果不是一个专业的trader,应该习惯使用低倍的杠杆去思考它的研究价值。用时间换取杠杆,2倍3倍的杠杆,代表的是研究的价值,而20倍10倍杠杆,就是用赌性在博弈。目前在交易所上面市值超过百亿美金的那些项目都存在一定的旁氏,螺旋下降的可能性。要想清楚自己想要赚取的是情绪的钱还是研究价值的钱。币价维持不住,最起码得把生态的信心维持住。因为一次做空导致整个市场崩盘,最后造就了整个生态的崩塌,围绕着Luna的相关生态都只能陪葬,这是一个行业悲剧。元杰:官方目前的解决方案无法解决问题这是一个典型的华尔街之狼来币圈割韭菜的故事。币圈索罗斯CitadelSecurities,前阵子从红杉和Paradigm融到$1.15B,正式进军币圈,亮相非常低调。相比于Alameda,Jump,ThreeArrows,在币圈名不见经转。但Citadel和其老板KenGriffin在华尔街可谓无人不晓,旗下管理资产$30B,能借10W个BTC并不奇怪。CitadelSecurities出手就摧毁了Luna,顺带BTC打到Tesla,MicroStrategy和一众公司的持仓成本之下,然后开始在市场上捡便宜的筹码,以后量化、套利、借贷手里都有子弹了。10W个BTC如数奉还,手里白嫖些BTC,、ETH,连CZ这次都被坑进去。量化老狗们估计对币圈不屑一顾,但看到Jump、Alameda、ThreeArrows这些新人赚钱又快又轻松,把他们给羡慕到了,下决心进来割韭菜。Citadel打头阵,一战成名,估计WallStreetJournal会报道。最后无奈地感慨一下,加密资本主义的崛起让Crypto再不是骗子韭菜和勇敢者的乐园了,而是充满巨鲸的黑暗森林。最差的环境就是最好的环境,就是慢慢进场的时机。DK现在选择的方案是,超速发Luna让大家来减债务,而债务的价格是动态的一直在波动,Luna的市值还在不断的缩水。UST稍微涨一点,大家就回去砸Luna,UST跌大家就不动了,负债就永远不发清零,市场信心就永远不会恢复,生态就越没有人来建设。两边互相博弈,而不能一个瞬间直接达到博弈出清,大家一起开始好好重新建设,重新来过状态。DK的解决方案无法实际解决问题,我的方案是要重建得先归零。现有UST持有人快照后直接通缩95%,从100UST变成5UST,95UST转化为Luna的十年长期债券,每年解锁,瞬间将UST的个数降到Luna的市值以下,瞬间恢复市场信心,Luna止跌。让所有生态方和Stakeholder,回到建设讨论的路线上去,摆脱噪音和恐慌。涨上去的时候,左脚踩右脚,轻功上天。跌下来的时候不选择壮士断腕,就是搬石头砸自己的脚。Web3的builder们使用金融工具的时候一定要特别的小心。Luna使用的庞氏补贴的工具在牛市的时候效率高,在熊市的时候就是很差的策略。因为牛市的时候,只需要补贴20%,anchor代币会涨,Luna代币也会涨,20%很容易补贴上来。而熊市的时候,本金在跌,如此挖出来的币可能都不及覆盖本金跌的部分。对于项目方来说,熊市里补贴的20%就得用真金白银去还。Pzai:Luna事件对下个阶段叙事型的区块链产品有标志性作用算稳本身的经济模型的缺失导致整个算稳本身趋于Ponzi化,应用场景也非常有限,最多的可能就是争抢流动性来给自己续命。这种机制在很多大资金的面前是不堪一击的,只是在等待一个trigger,然后引爆火桶,成为一场华丽的昙花一现。大家都把所有的DeFi项目当作一个炒币的工具,而不是有长期发展的基础设施的工具。Luna给所有人上了一课,他对deFi的发展,下个阶段叙事型的区块链产品发展有非常标志性的作用。希望在下一个BTC牛市的时候,投资人不再追逐高APY的项目,而是多一些能够真实产生业务数据,用业务数据去支撑代币健康循环发展的项目。Wendy:锚定比特币增信是中心化套娃的方式以比特币的锚定资产来增强稳定币的信心,其实还是中心化套娃的方式。这种中心化套娃的模型,只要市场下行,就会造成连锁反应。已经快救不了的币和新增的没有任何历史包袱的新稳定币,用户会选择哪一个呢?市场没有信心,融资也希望渺茫,对于创始团队来说,放弃或许是最好的选择。(全文完)文章来源:MirrorCIGDAO
17 小时前 | DeFi/去中心化金融 442 0 0
必查客
必查客
版主 船龄 5个月
NFT销量持续暴跌,泡沫即将破灭?
NFT销售趋于平缓这是NFT终结的开始吗?最近,BAYC的藏家以及爱好者可谓是经历了一场过山车式的情绪体验,马斯克将一张无聊猿蒙太奇图片作为他的推特头像,就在大家都以为大佬要一起加入BAYC家族时,马斯克却做出回应:“我不了解唉,但看来这些东西很容易就能被替代呢。”这给NFT玩家们泼上了一盆冷水,迅速导致ApeCoin大跌,跌幅近15%。对NFT行业来说,或许马斯克的推文并不能代表NFT行业的现状,这仅仅是他对这些市场看涨或看跌的众多摇摆不定推文的其中之一,但我们不得不承认的是,马斯克的每一次发声都能在加密市场或区块链市场引起不小的关注度。这条推文对NFT市场来说依然是条坏消息,因为FOMO情绪是直接影响NFT市场的主要原因。NonFungible的一份报告揭示了2022年的NFT市场状况。NonFungible在以太坊上实时跟踪去中心化资产交易,从数据上来看,当前交易量并不是很乐观,随着市场进入第二季度,尤其是与2021年相比,数据出现明显下滑。我整理了其中一些值得注意的数据点:NFT销售数量下降46%。(与2021年的市场高峰相比,数据看起来更糟;NFT的销售量已经下降到日均约19,000件每周,比9月份约225,000件的峰值下降了92%。)买家减少30%。活跃钱包的数量从11月的380,000个下降到每周不到150,000个活跃钱包(目前每天的活跃钱包数量约为20-30K)。转售期间的总损失增加了近50%。最后一点是大家较为关注的,对个人来说,很多藏家在评估了形势后做出了艰难的决定,他们认为能及时止损好过项目归零,尽管这种程度的损失是难以承受的。但是对整个行业来说,这种发展趋势不是良性的,因为NFT的稀缺性是非常重要的,只有需求超过供应量才能保持价格上涨同时吸引新买家进入市场。如果持有者大量撤退,购买池枯竭,留下的藏家就没有可以出售的对象。不具备流通性的NFT还能有价值吗?还有一些高调的挂售但未达到预期,这也会间接影响公众对这种新兴资产的看法。上个月,JackDorsey的第一条推文的NFT重新开始销售,所有者SinaEstavi希望能卖出4800万美元。目前,他将获得……28,136美元。Doggie#4292是由SnoopDogg策划的NFT,希望在拍卖中获得8,888.8888ETH,约合24,066,844美元。目前的出价为......595.65美元。这些负面新闻或是炒作都将对NFT的搜索流量产生一定影响。谷歌趋势数据显示,NFT一词的流量在1月份下降了60%以上,而且之后的趋势显示并未呈现出回升趋势。销量下降。市场下跌。流量下降。企业家巨头正在贬低这些资产。那么,泡沫即将破灭吗?现在得出结论或许为时过早。一方面,报告中的数据显示,尽管交易量在下降,但NFT的平均价格却在上涨。这可能意味着仍在流通的NFT,例如BoredApes,被认为是真正有价值的。这种下跌也有可能只是在2021年热度到达高点之后不可避免的大规模放缓,或许很快将再次看到市场再次飙升。另一可能性的解释,暴跌更像是一场市场洗牌,去除了那些只为短期收益而进入的人,同时剔除掉那些投机骗局的不良项目。加密货币经历了几次类似的清洗,大多数相信代币潜力的人都会坚持到底,而那些不太相信的人则承担了损失黯然离场。另一方面,市场可能已经决定这种形式的NFT并非长远。由于兴趣的减弱,社区也一直在寻找下一个突破口。但多久才能找到是个问题。总之。在这个在疯狂的时代只剩下一堆像素化的图片和泡沫破灭之前。市场需要尽快为用户找到可以真正将这项技术进行应用的落地场景。
2022-05-11 | NFT/非同质化代币 1034 0 0
FormlessGlobal
FormlessGlobal
水手 船龄 3年
Formless 牵手Shambala开启 NFT Sales
重磅来袭!Formless牵手Shambala开启NFTSales!!!本月18号,Shambala的跑鞋盲盒将登录FormlessMarketplace进行NFTSales。此次首发Shambala可谓诚意满满,不仅为大家带来了四款跑鞋盲盒,还给大家准备了超多惊喜福利!Shambala是一款已在币安智能链上线,并拥有丰富背景故事和模式的游戏。定位艺术元宇宙,支持创作者经济。吸引全球各类艺术创作者入驻平台,将玩家转变成创作者,推动玩家从游戏扩展到加密艺术、音乐,建筑、时尚、摄影、艺术展览、收藏、博物馆等,推动整个生态系统进入一个全新的虚拟艺术、娱乐和商业世界。此外,Shambala还是一个去中心化的经济体,拥有一个LAND,就有了自己的领地,如果你是创作者,可以建自己的工作室为粉丝提供体验和NFT交易,如果你是艺术爱好者,可以建展厅或艺术广场展示自己拥有或喜欢的作品。NFTSale开售信息时间:2022年3月21日平台:FormlessMarketPlace类型:MysteryBox2022年的区块链行业热点,已经从DeFi转向了多个领域的遍地开花,比如NFT、GameFi、DAO以及元宇宙等。这些领域都有一个共同的交集——区块链游戏。所以区块链游戏赛道迎来了爆发式增长,开发者、玩家和资本,无论是来自传统互联网还是Crypto领域,都纷纷杀进GameFi。Formless紧跟GameFi发展动态,专注于第一手游戏资料,持续不断为玩家带来市场最近动向,帮助玩家更易辨识优质项目,更快进入GameFi市场。除此之外,笔者还有一个重磅消息要透露给大家。Shambala与Formless的联名节点将在5月13日在Formless首发上线。Formless作为一站式的链游聚合平台,拥有全面、功能丰富的生态系统,与超过300个链游建立合作关系,致力于让用户有最好的机会发现下一个AxiInfinity。节点作为Formless生态中重要的组成部分。(相信大家对GALA节点都不陌生,早起参与GALA节点的小伙伴都已经赚麻了)Formless的节点能够获得热门代币、平台币以及限量版NFT。普通创世节点的价格会随着节点的售出逐渐升高,每卖出100个创世节点,价格便增长100美金,最后的100个节点价格将涨到30900美金。而Shambala联名节点仅售1100美金,未来节点可以在二级市场交易。联名节点亮点:官方不定期对节点空投NFT,联名款节点获得的稀有NFT,价值或可超越节点本身。(福利空投)每日可获得代币分红,随着Shambala诸多游戏发布,代币的价值也将水涨船高。(每日红包)Shambala联名款节点同时享有创世节点的所有权益获得丰厚的头矿收益,质押挖矿能量值增长。(y印钞机)参与规则:注册Formless,完成钱包绑定,即可参与NFTSALE抢购联名节点开售时间:5月13日联名节点单价:1,100USDT联名节点总量:100个购买流程:前往Formless官网注册登录之后(邮箱即可注册),选择页面中的节点绑定钱包之后,点击立即购买,支付完成之后(BSC链支付),即可获得联名节点
2022-05-11 | NFT/非同质化代币 1016 0 0