前言
北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。
基礎信息
攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee
1億枚USDT從Tether Treasury錢包轉入Bitfinex交易所,價值9950萬美元:據Whale Alert數據顯示,北京時間12月01日21:31,1億枚USDT從Tether Treasury錢包轉入Bitfinex交易所,按當前價格計算,價值約9950萬美元,交易哈希為:0x00ddde95f88e542c9e6edba876a68eb4cc03efc43dafb1e197f2fa69b755edd8。[2020/12/1 22:47:11]
TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273
動態 | Blockstream推出用于存儲加密私鑰的產品“Metal”:據sludgefeed消息,區塊鏈公司Blockstream宣布推出新的存儲加密私鑰的產品“Metal”,并稱該產品防火、防水、防震、防篡改。[2018/11/18]
攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。
Bittrex將于3月9日起停止為朝鮮等5個地區投資者提供服務:據Bitcoin消息,總部位于美國拉斯維加斯的數字貨幣交易所Bittrex,預計將于3月9日起正式停止為朝鮮、伊朗、克里米亞地區、敘利亞和古巴的投資者提供交易服務。對此,伊朗交易者感嘆:美國利用比特幣的流動性抑制全世界人民的需求,以此達到他們自己的利益。這不是比特幣和區塊鏈的意義所在,它們違背了這個系統的精神。[2018/3/5]
根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。
跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。
根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。
這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:NFTREASURBUYNFTALLBI價格Ethereal詞匯insur幣會漲到多少Elon Buys Twitter
SEC周二發布了一項規則變更提案,該提案涉及允許Wilshire Phoenix Funds在紐約證券交易所Arca上市ETF股票。SEC宣布開始為期21天的公眾意見征詢期.
1900/1/1 0:00:00這種金融活動基于區塊鏈的智能合約運行,最典型的是基于以太坊的智能合約。這些智能合約讓用戶能夠借貸資金、競價投機、交易代幣、對沖風險、賺取利息等廣泛地進行各類金融活動.
1900/1/1 0:00:00流動性挖礦是通過使用 DeFi 應用賺取被動收入的一種創新模式,通常以提供流動性的方式獲得。雖然流動性挖礦為投資者提供了超高的收益率,但在此過程中涉及到的各類風險也不能被忽視,這些風險包括但不限.
1900/1/1 0:00:00由于以太坊gas費用在2021年牛市期間飆升至歷史新高,導致許多去中心化金融(DeFi)協議無法供臨時用戶使用,一些項目被迫部署在其他鏈上.
1900/1/1 0:00:00區塊鏈技術的誕生,除了衍生出加密貨幣這類新興資產以外,也為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破.
1900/1/1 0:00:00數字資產的合規之路,又向前邁進了一大步。歷時11個月,佛羅里達州創業公司TurnKey Jet終于獲得了有關代幣發行的美國證券交易委員會(SEC)企業融資部的無異議函.
1900/1/1 0:00:00