比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 瑞波幣 > Info

怪事?盜了又歸還?TreasureDAO安全事件分析_SUR

Author:

Time:1900/1/1 0:00:00

3月3日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于 Arbitrum 的 TreasureDAO NFT 交易市場被曝發現漏洞,導致100多個NFT被盜,令人意外的是,在事件發生幾小時后,攻擊者卻開始歸還被盜NFT(猜不透攻擊者的心思)。關于本次事件,成都鏈安技術團隊第一時間進行了分析。

總述

交易發起地址利用TreasureMarketplaceBuyer合約中存在的邏輯缺陷,通過該合約的buyItem函數的_quantity參數能夠置零且不影響ERC-721代幣交易的漏洞,將totalPrice置零從而無代價獲取ERC-721代幣。

法國立法者正在起草一項針對NFT的定制法案:金色財經報道,法國立法者正在起草一項針對NFT的定制法案,并為在虛擬游戲中具有貨幣化價值的數字對象建立護欄。關于web3游戲中NFT的一套新規則的協議可能會在幾個月內達成。該框架被稱為JONUM,已在法國議會上院通過一讀。它于7月移交給國民議會,立法者將在暑假后進行討論。[2023/8/13 16:23:20]

交易發起地址:

Arbitrum:0x9b1acd4336ebf7656f49224d14a892566fd48e68

被攻擊的合約:

美股走低 納指跌幅擴大至2%:12月22日消息,美股走低,納指跌幅擴大至2%,標普500指數跌1.4%。[2022/12/23 22:01:59]

Arbitrum:0x812cda2181ed7c45a35a691e0c85e231d218e273

攻擊交易:

Arbitrum:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

在Arbitrum上,交易發起者通過TreasureMarketplaceBuyer合約的buyItem函數傳入了數值為0的_quantity參數,從而無償購買了TokenID為5490的ERC-721代幣。(僅以此次交易為例)

DeFi服務公司XLD Finance完成1300萬融資:7月19日消息,DeFi服務公司XLD Finance宣布完成1300萬Pre-A輪融資,Dragonfly Capital和Infinity Ventures Crypto領投,Advance AI、Circle、Digital Currency Group、IDG Capital、Insignia Venture Partners、Integra Partners、Morningstar Ventures、Openspace Ventures、Sfermion、Shima Capital、Transcend Fund、TrustToken、UOB Venture Management、Woo Network、Yield Guild Games、YOLO Ventures、Emfarsis等參投。融資將用于擴大其產品和工程團隊的規模,以及擴大其授權合作伙伴金融機構、商家和賬單的網絡。(TheBlock)[2022/7/19 2:23:59]

?交易詳情

從代碼上來看,TreasureMarketplaceBuyer合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用TreasureMarketplace合約的buyItem函數來進行代幣購買。

TreasureMarketplaceBuyer 合約的?buyItem函數代碼

但是在調用TreasureMarketplace合約的buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。

TreasureMarketplace的buyItem函數代碼

涉及的代幣資產:

總結建議

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。

建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。

Tags:BUYREAITEMSURELON BUYS COKE COLACreamPYEITEM價格insur幣幣幣情

瑞波幣
跨鏈橋漏洞總結_AIN

隨著區塊鏈和鏈上項目的增長,對多鏈項目的需求正在變多,跨鏈橋業務也相應的在增加。哪里有生意,哪里就會有安全問題.

1900/1/1 0:00:00
頭部借貸協議進軍機構市場 DeFi 之夏會再次開啟嗎?_DEF

就目前 DeFi 的基建水平、法律法規等方面來看,機構大規模采用 DeFi 協議還為時過早。原文標題:《CeDeFi?機構入場 DeFi 還有較長的路要走》炎炎夏日,DeFi 藍籌紛紛觸底反彈.

1900/1/1 0:00:00
區塊鏈政策月報:國內多部委推進區塊鏈研究 國際FATF加強加密貨幣洗錢監管_FAT

2月正值農歷新年,辭舊迎新之際,國內各省市對區塊鏈領域也有了新的規劃。兩會期間,國內多處地方政府工作報告、多位地方代表提案提及發展區塊鏈.

1900/1/1 0:00:00
當DeFi淪為黑客的“提款機” 我們如何保證它的安全性?_EFI

區塊鏈技術的誕生,除了衍生出加密貨幣這類新興資產以外,也為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破.

1900/1/1 0:00:00
現實世界中的DAO是否真正做到了徹底的去中心化自治?_DAO

暴走時評:去中心化的自治組織真的去中心化了嗎?本文列舉了他們在實現完全自治的道路上所面臨的困難.

1900/1/1 0:00:00
加密行業國際新規來了?FATF這份報告將影響加密交易所、基金、托管_數字資產

據彭博社此前消息,FATF發言人表示,6月21日,該機構將發布一份闡明各國應如何監管虛擬資產的報告。該“新規”將適用于幾乎整個加密貨幣行業,如交易所、托管機構和加密對沖基金.

1900/1/1 0:00:00
ads