3月3日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于 Arbitrum 的 TreasureDAO NFT 交易市場被曝發現漏洞,導致100多個NFT被盜,令人意外的是,在事件發生幾小時后,攻擊者卻開始歸還被盜NFT(猜不透攻擊者的心思)。關于本次事件,成都鏈安技術團隊第一時間進行了分析。
總述
交易發起地址利用TreasureMarketplaceBuyer合約中存在的邏輯缺陷,通過該合約的buyItem函數的_quantity參數能夠置零且不影響ERC-721代幣交易的漏洞,將totalPrice置零從而無代價獲取ERC-721代幣。
美聯儲半年度貨幣政策報告:將會逐次會議做出進一步加息的決策:金色財經報道,美聯儲半年度貨幣政策報告顯示,將會逐次會議做出進一步加息的決策;銀行業系統仍然健康并充滿韌性;進一步收緊的信貸環境將對經濟活動水平施壓;一段時間內經濟增速低于趨勢水平才能遏制通脹;通脹已經放緩,但仍高于2%的目標水平。[2023/6/17 21:42:56]
交易發起地址:
Arbitrum:0x9b1acd4336ebf7656f49224d14a892566fd48e68
被攻擊的合約:
Arbitrum:0x812cda2181ed7c45a35a691e0c85e231d218e273
前道富銀行高管Nadine Chakar將擔任區塊鏈創企Securrency CEO:1月5日消息,前道富銀行數字金融主管Nadine Chakar將擔任區塊鏈初創公司Securrency首席執行官。Chakar將于1月9日上任。該公司創始人Dan Doney此前曾擔任該公司首席執行官,他將繼續擔任首席技術官。
Securrency是一家基于區塊鏈的金融和監管技術開發商。該公司與資產管理公司WisdomTree合作推出區塊鏈基金。去年4月,WisdomTree Investments和道富銀行一起參投了Securrency 3000萬美元的B輪融資。(Blockworks)[2023/1/5 10:23:57]
攻擊交易:
報告:全球區塊鏈技術市場規模預計2030將達到690億美元左右:金色財經報道,根據Custom Market Insights發布的市場研究報告,2021年全球區塊鏈技術市場規模和份額收入的需求分析價值約為48億美元,預計2030 將達到690億美元左右,2022年至2030年的復合年增長率為 68%。報告中列出了主要市場參與者及其銷售額、收入和戰略,包括 IBM、AWS、英特爾、Infosys、NTT Data 等。[2022/8/26 12:50:19]
Arbitrum:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
在Arbitrum上,交易發起者通過TreasureMarketplaceBuyer合約的buyItem函數傳入了數值為0的_quantity參數,從而無償購買了TokenID為5490的ERC-721代幣。(僅以此次交易為例)
?交易詳情
從代碼上來看,TreasureMarketplaceBuyer合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用TreasureMarketplace合約的buyItem函數來進行代幣購買。
TreasureMarketplaceBuyer 合約的?buyItem函數代碼
但是在調用TreasureMarketplace合約的buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。
TreasureMarketplace的buyItem函數代碼
涉及的代幣資產:
總結建議
本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。
建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。
Tags:BUYTEMSUREARKonekeybuy是什么軟件電視FEED SYSTEMLeisurePaySTARPARK
兩個月后,5月5日,Uniswap V3終于推出了,在最初的兩周內,它就取得了巨大的成功。Uniswap V3只用了三天時間就成為以太坊上僅次于Uniswap V2的頂級去中心化交易所(DEX).
1900/1/1 0:00:00這篇文章根據我作為多個DAO的成員、在Mirror構建DAO工具以及在過去一年中與DAO運營者密切合作的經驗,分享關于DAO工具的一些想法。首先,讓我們看下一些挑戰.
1900/1/1 0:00:00面對五月下旬幣圈大跳水的行情,整個加密市場都充斥著極度惶恐的情緒。盡管DeFi一直被寄予厚望,但也未能抵抗住此番壓力,鎖倉量幾近腰斬.
1900/1/1 0:00:00歐洲央行(ECB)在推特上發布了其主席Mario Draghi在參加央行組織的“歐洲央行青年對話(ECB Youth Dialogue)”活動時與青年人的對話視頻.
1900/1/1 0:00:00據外媒消息,今日VISA正式宣布放棄對Plaid的收購,這場從2020年初就開啟的收購經歷重重阻礙,終于投降在了反壟斷的鐵錘之下.
1900/1/1 0:00:00最近幾個月,Terra和Fantom上的DeFi表現強勁,與此同時,鎖定在BNB和Solana鏈上的總價值暴跌。 關鍵要點 ? DeFi中的總鎖定價值隨著加密貨幣市場的擴大而下降.
1900/1/1 0:00:00