比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MANA > Info

TreasureDAO 攻擊事件分析_REA

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

基礎信息

攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

數據:USDC Treasury銷毀50,895,028枚USDC:金色財經報道,Whale Alert數據顯示,USDC Treasury銷毀50,895,028枚USDC。[2022/11/4 12:15:52]

TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273

攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。

1500萬枚USDT從Tether Treasury轉入幣安:金色財經報道,Whale Alert數據顯示,北京時間07月22日00:59,1500萬枚USDT從Tether Treasury轉入幣安,價值約1501.6萬美元,交易哈希為:ec1039c9b9870b82dced2bf78b4d0056e17199eedc38b2bdf3599763ed23535d。[2020/7/22]

根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。

動態 | 分析師因評論Liquid網絡表現欠佳被Blockstream推特賬號屏蔽:據Bitcoin.com報道,Adamant Capital聯合創始人Tuur Demeester此前在推特上轉發了一條關于Blockstream的Liquid網絡已增加14名新成員的消息。The Block分析師Larry Cermak回復稱,迄今為止,在其7個月的歷史中,Blockstream幾乎沒有獲得任何牽引力。Liquid總共進行了61,700筆交易,目前資本總額為313,000美元。然而,Cermak轉天發現他已被Blockstream的官方推特賬號屏蔽了。Blockstream首席戰略官Samson Mow聲稱是他屏蔽了Cermak,并稱“因為他是個白癡”。[2019/5/11]

跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。

根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。

這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:REANFTSURBUYgreatdane幣貼吧SNFTS價格treasurechaintstonekeybuy已停止是什么意思

MANA
芬蘭通過數字貨幣相關法案_FSA

作者:Kevin Helms  翻譯:Penny芬蘭總統已批準一項法律來監管數字貨幣服務提供商,包括交易所、托管錢包提供商以及數字貨幣發行方.

1900/1/1 0:00:00
DeFi 借貸 VS 傳統借貸_EFI

隨著行業的不斷發展,DeFi 越來越具有與傳統金融業逐鹿的競爭力。在借貸協議和去中心化交易所 (DEX) 的推動下,DeFi 中的 TVL(總價值鎖定)價值 821.8億美元(截至 2021 年.

1900/1/1 0:00:00
2022年是DAO元年嗎?_NFT

“我們習慣給我們的時代一個浪漫的名字,紀念我們在時代的塵埃里經歷過的一切。”2020年夏天,我們利用AMM打通了去中心化世界關于金融的最后一點點障礙,之后借貸平臺Compound推出代幣,該代幣.

1900/1/1 0:00:00
金色DeFi日報 | DEX交易量4億美元 借貸平臺借款總量15億_DEF

1.DeFi總市值:115.29億美元 金色晚報 | 4月25日晚間重要動態一覽:12:00-22:00關鍵詞:金融科技研究院、美國SEC、福布斯、ETH2.0、LINK 1.

1900/1/1 0:00:00
一文盤點25個值得關注的加密協議_TER

我們在一月份出版了一份token air drop指南,當時我們說,作為這些加密協議的早期用戶,你很有可能獲得很大的回報。 我們是對的.

1900/1/1 0:00:00
DAO的革新:web3 DAO工具的未來_ITA

DAO為什么要努力成為web3的主導力量,DAO工具如何改變游戲規則。著名的網絡自由主義者約翰?佩里?巴洛(John Perry Barlow)曾宣稱,“網絡空間”由交易、關系和思想本身組成.

1900/1/1 0:00:00
ads