3月3日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于 Arbitrum 的 TreasureDAO NFT 交易市場被曝發現漏洞,導致100多個NFT被盜,令人意外的是,在事件發生幾小時后,攻擊者卻開始歸還被盜NFT(猜不透攻擊者的心思)。關于本次事件,成都鏈安技術團隊第一時間進行了分析。
總述
交易發起地址利用TreasureMarketplaceBuyer合約中存在的邏輯缺陷,通過該合約的buyItem函數的_quantity參數能夠置零且不影響ERC-721代幣交易的漏洞,將totalPrice置零從而無代價獲取ERC-721代幣。
法國立法者正在起草一項針對NFT的定制法案:金色財經報道,法國立法者正在起草一項針對NFT的定制法案,并為在虛擬游戲中具有貨幣化價值的數字對象建立護欄。關于web3游戲中NFT的一套新規則的協議可能會在幾個月內達成。該框架被稱為JONUM,已在法國議會上院通過一讀。它于7月移交給國民議會,立法者將在暑假后進行討論。[2023/8/13 16:23:20]
交易發起地址:
Arbitrum:0x9b1acd4336ebf7656f49224d14a892566fd48e68
被攻擊的合約:
美股走低 納指跌幅擴大至2%:12月22日消息,美股走低,納指跌幅擴大至2%,標普500指數跌1.4%。[2022/12/23 22:01:59]
Arbitrum:0x812cda2181ed7c45a35a691e0c85e231d218e273
攻擊交易:
Arbitrum:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
在Arbitrum上,交易發起者通過TreasureMarketplaceBuyer合約的buyItem函數傳入了數值為0的_quantity參數,從而無償購買了TokenID為5490的ERC-721代幣。(僅以此次交易為例)
DeFi服務公司XLD Finance完成1300萬融資:7月19日消息,DeFi服務公司XLD Finance宣布完成1300萬Pre-A輪融資,Dragonfly Capital和Infinity Ventures Crypto領投,Advance AI、Circle、Digital Currency Group、IDG Capital、Insignia Venture Partners、Integra Partners、Morningstar Ventures、Openspace Ventures、Sfermion、Shima Capital、Transcend Fund、TrustToken、UOB Venture Management、Woo Network、Yield Guild Games、YOLO Ventures、Emfarsis等參投。融資將用于擴大其產品和工程團隊的規模,以及擴大其授權合作伙伴金融機構、商家和賬單的網絡。(TheBlock)[2022/7/19 2:23:59]
?交易詳情
從代碼上來看,TreasureMarketplaceBuyer合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用TreasureMarketplace合約的buyItem函數來進行代幣購買。
TreasureMarketplaceBuyer 合約的?buyItem函數代碼
但是在調用TreasureMarketplace合約的buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。
TreasureMarketplace的buyItem函數代碼
涉及的代幣資產:
總結建議
本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。
建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。
Tags:BUYREAITEMSURELON BUYS COKE COLACreamPYEITEM價格insur幣幣幣情
隨著區塊鏈和鏈上項目的增長,對多鏈項目的需求正在變多,跨鏈橋業務也相應的在增加。哪里有生意,哪里就會有安全問題.
1900/1/1 0:00:00就目前 DeFi 的基建水平、法律法規等方面來看,機構大規模采用 DeFi 協議還為時過早。原文標題:《CeDeFi?機構入場 DeFi 還有較長的路要走》炎炎夏日,DeFi 藍籌紛紛觸底反彈.
1900/1/1 0:00:002月正值農歷新年,辭舊迎新之際,國內各省市對區塊鏈領域也有了新的規劃。兩會期間,國內多處地方政府工作報告、多位地方代表提案提及發展區塊鏈.
1900/1/1 0:00:00區塊鏈技術的誕生,除了衍生出加密貨幣這類新興資產以外,也為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破.
1900/1/1 0:00:00暴走時評:去中心化的自治組織真的去中心化了嗎?本文列舉了他們在實現完全自治的道路上所面臨的困難.
1900/1/1 0:00:00據彭博社此前消息,FATF發言人表示,6月21日,該機構將發布一份闡明各國應如何監管虛擬資產的報告。該“新規”將適用于幾乎整個加密貨幣行業,如交易所、托管機構和加密對沖基金.
1900/1/1 0:00:00