SUR:慢雾：TreasureDAO NFT交易市场「零元购」漏洞分析

2022年03月03日，据慢雾区消息，TreasureDAO的NFT交易市场被曝出严重漏洞，TreasureDAO是一个基于Arbitrum上的NFT项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：相关信息

合约地址TreasureMarketplaceBuyer:0x812cda2181ed7c45a35a691e0c85e231d218e273TreasureMarketplace:0x2e3b85f85628301a0bce300dee3a6b04195a15ee漏洞细节分析

慢雾：Platypus再次遭遇攻击，套利者获取约5万美元收益:7月12日消息，SlowMist发推称，稳定币项目Platypus似乎再次收到攻击。由于在通过CoverageRatio进行代币交换时没有考虑两个池之间的价格差异，导致用户可以通过存入USDC然后提取更多USDT来套利，套利者通过这种方式套利了大约50,000美元USDC。[2023/7/12 10:50:27]

1.用户通过TreasureMarketplaceBuyer合约中的buyItem函数去购买NFT，该函数会先计算总共需要购买的价格并把支付所需的Token打入合约中，接着调用TreasureMarketplace合约中的buyItem从市场购买NFT到TreasureMarketplaceBuyer合约，接着在从TreasureMarketplaceBuyer合约中把NFT转给用户。

慢雾：正协助Poly Network追查攻击者，黑客已实现439万美元主流资产变现:7月2日消息，慢雾首席信息安全官23pds在社交媒体发文表示，慢雾团队正在与Poly Network官方一起努力追查攻击者，并已找到一些线索。黑客目前已实现价值439万美元的主流资产变现。[2023/7/2 22:13:24]

2.在TreasureMarketplace合约中：

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

可以发现若传入的_quantity参数为0，则可以直接通过require(listedItem.quantity>=_quantity,"notenoughquantity");检查并进入下面的转移NFT流程，而其中没有再次对ERC-721标准的NFT转移进行数量判断，使得虽然传入的_quantity参数虽然为0，但仍然可以转移ERC-721标准的NFT。而计算购买NFT的价格的计算公式为totalPrice=_pricePerItem*_quantity，因此购买NFT的价格被计算为0，导致了在市场上的所有ERC-721标准的NFT均可被免费购买。攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。攻击交易：https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02攻击者：0x4642d9d9a434134cb005222ea1422e1820508d7b攻击细节：

可以从下图中看到，攻击者调用了TreasureMarketplaceBuyer合约中的buyItem函数，并使传入的_quantity参数为0。

可以看到Token转移均为0，攻击者并没有付出任何成本就成功购买了tokenID为3557的NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。总结

本次漏洞的核心在于进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为0的判断，导致了ERC-721标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成0。针对此类漏洞，慢雾安全团队建议在进行ERC-721标准的NFT转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTSURTREASUREREAapenft币价格InsureumtreasurechaintstREALNANCE

SAND热门资讯