“零元购” TreasureDAO NFT 交易市场漏洞分析_ETH:REA

2022年03月03日,据慢雾区消息,TreasureDAO的NFT交易市场被曝出严重漏洞,TreasureDAO是一个基于Arbitrum上的NFT项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析,并将结果分享如下:

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

TreasureMarketplace:

可口可乐推出首款基于元宇宙元素设计的可乐产品“零糖字节”:金色财经报道,近日,可口可乐推出了首款基于元宇宙题材设计的可乐新款产品“零糖字节”(Coca-Cola Zero Sugar Byte)。可口可乐表示,“‘零糖字节’是一款跨越了数字与物理世界、融合时下热门的元宇宙元素而设计的可乐。”

据悉,该款可乐目前面向部分拉丁美洲国家限量发售,随后5月2日,在美国网上售卖,之后将于5月23日登陆中国零售市场。

同时,为了推广新饮料,可口可乐与Epic Games合作,在广受玩家欢迎的游戏“堡垒之夜”中创建了名为“Pixel Point”数字海岛,通过扫码“零糖字节”可乐罐体二维码,玩家即能畅玩四款沉浸式互动挑战小游戏。(同花顺)[2022/4/7 14:09:59]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

成都市利用区块链技术实现不动产首次登记“零材料”受理:12月6日消息,成都市规划和自然资源局积极探索围绕数据安全管理、业务智能审批、行为监测预警、数据协同共享等应用场景,建成“蓉e链”区块链平台,实现不动产首次登记“零材料”受理。将规划和自然资源部门内部产生的土地出让合同、划拨决定书、建设用地规划许可证、建设工程规划许可证、土地核实意见书、权籍调查结果和外部产生的成都市建设工程并联竣工验收通知书等不动产首次登记申请材料,通过不动产单元代码关联并全量实时上“蓉e链”共享存证,确保业务环节前后衔接、数据真实准确,便利信息共享查询追溯。(中国日报网)[2021/12/6 12:54:13]

漏洞细节分析

稳定币初创公司Liquity计划实施“零治理”:金色财经报道,即将启动的稳定币初创公司Liquity计划实施“零治理”。最值得注意的是,Liquity的智能合约将根据需要进行调整(不需要由代币持有者组成的治理委员会)。Liquity将没有治理代币,但仍计划使用流动性挖掘来促进早期采用。其提供了一个“增长代币”(GT),持有者将持续通过Liquity费用获得少量收益。最近的电话会议尚未解决有关Liquity将通过GT奖励哪些行为的问题。[2020/8/26]

1.用户通过TreasureMarketplaceBuyer合约中的buyItem函数去购买NFT,该函数会先计算总共需要购买的价格并把支付所需的代币打入合约中,接着调用TreasureMarketplace合约中的buyItem从市场购买NFT到?TreasureMarketplaceBuyer?合约,接着在从TreasureMarketplaceBuyer合约中把NFT转给用户。

掌柜调查署丨兰建忠:火币合约实现“零分摊”关键在于“2+1”投资者保护基金:在今日的掌柜调查署上,火币集团副总裁兰建忠发言指出:火币合约实现全品种“零分摊”关键在于“2+1”的投资者保护基金先行赔付机制。

首先是安全备付金:火币合约和Huobi Global共用安全备付金。该保护基金总额20,000 BTC,专项用于应对火币平台可能出现的极端突发安全事故。

第二是风险准备金:风险准备金是用于应付因强平单未能平出而产生的穿仓损失。每一个合约品种,都有一个风险准备金。

第三是 零分摊保证金:零分摊保证金则是火币合约自2018年12月上线以来,就开启的一笔200万美元的“零分摊”保障资金。[2020/3/10]

2.在TreasureMarketplace?合约中:

可以发现若传入的_quantity参数为0,则可以直接通过require(listedItem.quantity>=_quantity,"notenoughquantity");检查并进入下面的转移NFT流程,而其中没有再次对ERC-721标准的NFT转移进行数量判断,使得虽然传入的_quantity参数虽然为0,但仍然可以转移ERC-721标准的NFT。而计算购买NFT的价格的计算公式为totalPrice=_pricePerItem*_quantity,因此购买NFT的价格被计算为0,导致了在市场上的所有ERC-721标准的NFT均可被免费购买。

攻击交易分析

此处仅展示一个攻击交易的细节,其余攻击交易的手法都一致,不再赘述。

攻击交易:

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者:

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节:

可以从下图中看到,攻击者调用了TreasureMarketplaceBuyer合约中的buyItem函数,并使传入的_quantity参数为0。

可以看到代币转移均为0,攻击者并没有付出任何成本就成功购买了tokenID为3557的NFT,整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行ERC-721标准的NFT转移前,缺少了对于传入的_quantity参数不为0的判断,导致了ERC-721标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成0。针对此类漏洞,慢雾安全团队建议在进行ERC-721标准的NFT转移前,需对传入的数量做好判断,避免再次出现此类问题。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:46ms0-4:962ms