SURE:“零元购” TreasureDAO NFT 交易市场漏洞分析

2022 年 03 月 03 日，据慢雾区消息，TreasureDAO 的 NFT 交易市场被曝出严重漏洞，TreasureDAO 是一个基于 Arbitrum（L2）上的 NFT 项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

Scam Sniffer：攻击者正在测试Blur批量挂单漏洞，请用户当心“零元购”钓鱼风险:3月9日消息，反网络钓鱼解决方案Scam Sniffer发文提醒称，其链上监控机器人在大约5小时前发现一笔可疑Blur交易，有攻击者正在测试Blur批量挂单的漏洞。在这笔交易中，攻击者自己尝试了“网络钓鱼”，并成功将6枚NFT实现了转移。

此前报道，慢雾生态安全合作伙伴Scam Sniffer演示了一个针对Blur NFT市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个“Root签名”即可以极低成本（特指“零元购”）钓走目标用户在Blur平台授权的所有NFT，Blur平台的这个“Root签名”格式类似“盲签”，用户无法识别这种签名的影响。[2023/3/9 12:51:56]

TreasureMarketplace:

比特币协会：我们对Bitcoin SV网络的非法攻击表示“零容忍”:官方消息，比特币协会近日发布声明表示：我们对Bitcoin SV网络的非法攻击表示“零容忍”。Bitcoin SV基础架构团队长期以来一直对网络进行定期监控，近期协会发现BSV网络上出现了非法攻击。目前他们已经收集并记录了自此次非法攻击以来的全部相关数据，将提供给相关部门处理。[2021/7/9 0:39:26]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

漏洞细节分析

1. 用户通过 TreasureMarketplaceBuyer 合约中的 buyItem 函数去购买 NFT，该函数会先计算总共需要购买的价格并把支付所需的代币打入合约中，接着调用 TreasureMarketplace 合约中的 buyItem 从市场购买 NFT 到? TreasureMarketplaceBuyer ?合约，接着在从 TreasureMarketplaceBuyer 合约中把 NFT 转给用户。

湖州电力物资供应签约结算通过区块链技术实现“零”跑办:4月27日，湖州飞剑杆塔制造有限公司业务代表沈利平收到国网湖州供电公司发来的电子合同签署任务短信提醒——“请登陆‘电e签’平台，审核并签署‘2020年度铁附件框架协议’，签订有效期为3个工作日”。沈利平随即登录“电e签”统一签署平台，从收件箱中找到相应合同并复核无误后，点击“签署”键，原本需要至少半天时间的合同签署工作只花了短短5分钟就完成了。如此高效的签约工作得益于国网湖州供电公司对基于区块链技术的电子合同签署平台的成功应用。[2020/5/1]

声音 | 前Coinbase首席技术官：比特币和山寨币不是“零和游戏”:据ambcrypto报道，前Coinbase首席技术官Balaji Srinivasan表示，比特币和山寨币之间存在分歧，如果将BTC视为数字黄金，那就有山寨币的空间。我真的不想和那些认为这是“零和游戏”的人争辩。有零和游戏，但我不认为BTC和山寨币是“零和游戏”。我们的理念是“BTC和”而不是“BTC或”。在coinbase，无论我是在隐私币还是智能合约等社区，每个人都知道，尊重并持有比特币。[2020/1/19]

2. 在 TreasureMarketplace?合约中：

可以发现若传入的 _quantity 参数为 0，则可以直接通过 require(listedItem.quantity >= _quantity, "not enough quantity"); 检查并进入下面的转移 NFT 流程，而其中没有再次对 ERC-721 标准的 NFT 转移进行数量判断，使得虽然传入的 _quantity 参数虽然为 0，但仍然可以转移 ERC-721 标准的 NFT。而计算购买 NFT 的价格的计算公式为 totalPrice = _pricePerItem * _quantity，因此购买 NFT 的价格被计算为 0，导致了在市场上的所有 ERC-721 标准的 NFT 均可被免费购买。

攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。

攻击交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节：

可以从下图中看到，攻击者调用了 TreasureMarketplaceBuyer 合约中的 buyItem 函数，并使传入的 _quantity 参数为 0。

可以看到代币转移均为 0，攻击者并没有付出任何成本就成功购买了 tokenID 为 3557 的 NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行 ERC-721 标准的 NFT 转移前，缺少了对于传入的 _quantity 参数不为 0 的判断，导致了 ERC-721 标准的 NFT 可以直接被转移且计算价格时购买 NFT 所需费用被计算成 0。针对此类漏洞，慢雾安全团队建议在进行 ERC-721 标准的 NFT 转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTTREASURESURESURCorgiNFTGameCyclops Treasurensure币能涨到多少nsure币发行量

莱特币热门资讯