“零元購” TreasureDAO NFT 交易市場漏洞分析_SUR

2022年03月03日，據慢霧區消息，TreasureDAO的NFT交易市場被曝出嚴重漏洞，TreasureDAO是一個基于Arbitrum上的NFT項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

TreasureMarketplace:

安全公司：超過280個區塊鏈面臨“零日”漏洞的風險，至少價值250億美元:3月14日消息，據網絡安全公司Halborn表示，估計有280個或更多區塊鏈網絡面臨“零日”漏洞利用的風險，這些漏洞可能會使至少價值250億美元的加密貨幣面臨風險。

Halborn概述了三個漏洞，其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息，導致每個節點關閉”。它隨著時間的推移添加了這些消息，可能會使區塊鏈暴露于51%的攻擊中，攻擊者控制網絡的大部分挖礦哈希率或質押代幣以制作新版本的區塊鏈或使其離線。其他“零日漏洞”將允許潛在的攻擊者通過發送遠程過程調用 (RPC) 請求來破壞區塊鏈節點。[2023/3/14 13:03:06]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

比特幣協會：我們對Bitcoin SV網絡的非法攻擊表示“零容忍”:官方消息，比特幣協會近日發布聲明表示：我們對Bitcoin SV網絡的非法攻擊表示“零容忍”。Bitcoin SV基礎架構團隊長期以來一直對網絡進行定期監控，近期協會發現BSV網絡上出現了非法攻擊。目前他們已經收集并記錄了自此次非法攻擊以來的全部相關數據，將提供給相關部門處理。[2021/7/9 0:39:26]

漏洞細節分析

1.用戶通過TreasureMarketplaceBuyer合約中的buyItem函數去購買NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用TreasureMarketplace合約中的buyItem從市場購買NFT到?TreasureMarketplaceBuyer?合約，接著在從TreasureMarketplaceBuyer合約中把NFT轉給用戶。

華為云混合云領域總裁：“零”等待同步區塊鏈等10大類70+云服務:今日，華為云發布政企戰略，并宣布華為云Stack系列新品正式上市。華為云混合云領域總裁呂陽明介紹，基于統一的華為云擎天架構，華為云Stack與華為云保持統一的API，可以在本地數據中心為客戶提供與華為云一致的云服務使用體驗，“零”等待同步AI、大數據、IoT、區塊鏈等10大類70+云服務，共享華為云創新能力。[2020/5/15]

金色財經現場報道 EosStore市場負責人羅斌：組建EOS社區的“零一二三”:金色財經現場報道，在EosStore競選超級節點暨“柚子資本發布會”上，EosStore市場負責人羅斌在演講中指出：“組建EOS社區將秉持“車庫咖啡的精神+投資孵化的功能+公平、開放的社區”的模式，做到‘零一二三’。零：社群的零門檻；一：一條主線，即‘一切以商業落地為核心’；二：投資和孵化的功能，投資者社區與開發者社區形成互動鏈接；三：組建三個職能環，投研團隊、資源匹配團隊、市場活動部門，我們會基于以上的幾點，提供力所能及的服務。”[2018/5/13]

2.在TreasureMarketplace?合約中：

可以發現若傳入的_quantity參數為0，則可以直接通過require(listedItem.quantity>=_quantity,"notenoughquantity");檢查并進入下面的轉移NFT流程，而其中沒有再次對ERC-721標準的NFT轉移進行數量判斷，使得雖然傳入的_quantity參數雖然為0，但仍然可以轉移ERC-721標準的NFT。而計算購買NFT的價格的計算公式為totalPrice=_pricePerItem*_quantity，因此購買NFT的價格被計算為0，導致了在市場上的所有ERC-721標準的NFT均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了TreasureMarketplaceBuyer合約中的buyItem函數，并使傳入的_quantity參數為0。

可以看到代幣轉移均為0，攻擊者并沒有付出任何成本就成功購買了tokenID為3557的NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行ERC-721標準的NFT轉移前，缺少了對于傳入的_quantity參數不為0的判斷，導致了ERC-721標準的NFT可以直接被轉移且計算價格時購買NFT所需費用被計算成0。針對此類漏洞，慢霧安全團隊建議在進行ERC-721標準的NFT轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTSURETREASURESURnfts幣現在多少錢一個InsureumBitball TreasureSURF

PEPE