NFT:“零元購” TreasureDAO NFT 交易市場漏洞分析_treasurechaintst

2022年03月03日，據慢霧區消息，TreasureDAO的NFT交易市場被曝出嚴重漏洞，TreasureDAO是一個基于Arbitrum上的NFT項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

TreasureMarketplace:

CTFC專員提議設立“零售倡導辦公室”，以保護散戶加密投資者:9月29日消息，商品期貨交易專員（CFTC）Caroline Pham提議設立一個“零售倡導辦公室”，旨在擴大CFTC對投資者的保護職責，以保護散戶加密投資者。Pham以美國證券交易委員會（SEC）的投資者權益保護辦公室為藍本，表示這是促進客戶保護的“行之有效的方法”。

據悉，CFTC近期因其對Ooki DAO案件的“執法監管”而受到抨擊，社區將其與美國證券交易委員會處理正在進行的Ripple案件中的執法策略進行比較。[2022/9/29 22:39:20]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

掌柜調查署丨蘭建忠：火幣合約實現“零分攤”關鍵在于“2+1”投資者保護基金:在今日的掌柜調查署上，火幣集團副總裁蘭建忠發言指出：火幣合約實現全品種“零分攤”關鍵在于“2+1”的投資者保護基金先行賠付機制。

首先是安全備付金：火幣合約和Huobi Global共用安全備付金。該保護基金總額20,000 BTC，專項用于應對火幣平臺可能出現的極端突發安全事故。

第二是風險準備金：風險準備金是用于應付因強平單未能平出而產生的穿倉損失。每一個合約品種，都有一個風險準備金。

第三是 零分攤保證金：零分攤保證金則是火幣合約自2018年12月上線以來，就開啟的一筆200萬美元的“零分攤”保障資金。[2020/3/10]

漏洞細節分析

聲音 | 前Coinbase首席技術官：比特幣和山寨幣不是“零和游戲”:據ambcrypto報道，前Coinbase首席技術官Balaji Srinivasan表示，比特幣和山寨幣之間存在分歧，如果將BTC視為數字黃金，那就有山寨幣的空間。我真的不想和那些認為這是“零和游戲”的人爭辯。有零和游戲，但我不認為BTC和山寨幣是“零和游戲”。我們的理念是“BTC和”而不是“BTC或”。在coinbase，無論我是在隱私幣還是智能合約等社區，每個人都知道，尊重并持有比特幣。[2020/1/19]

1.用戶通過TreasureMarketplaceBuyer合約中的buyItem函數去購買NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用TreasureMarketplace合約中的buyItem從市場購買NFT到?TreasureMarketplaceBuyer?合約，接著在從TreasureMarketplaceBuyer合約中把NFT轉給用戶。

BCH社區討論“零確認”交易:據bitcoin news消息，在過去的幾周里，BCH社區和開發者一直在討論“零確認”或“即時交易”。許多BCH支持者認為，如果這一概念得到廣泛接受，付款和交易速度將快得驚人，從而為BCH網絡帶來顯著的競爭優勢。[2018/4/3]

2.在TreasureMarketplace?合約中：

可以發現若傳入的_quantity參數為0，則可以直接通過require(listedItem.quantity>=_quantity,"notenoughquantity");檢查并進入下面的轉移NFT流程，而其中沒有再次對ERC-721標準的NFT轉移進行數量判斷，使得雖然傳入的_quantity參數雖然為0，但仍然可以轉移ERC-721標準的NFT。而計算購買NFT的價格的計算公式為totalPrice=_pricePerItem*_quantity，因此購買NFT的價格被計算為0，導致了在市場上的所有ERC-721標準的NFT均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了TreasureMarketplaceBuyer合約中的buyItem函數，并使傳入的_quantity參數為0。

可以看到代幣轉移均為0，攻擊者并沒有付出任何成本就成功購買了tokenID為3557的NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行ERC-721標準的NFT轉移前，缺少了對于傳入的_quantity參數不為0的判斷，導致了ERC-721標準的NFT可以直接被轉移且計算價格時購買NFT所需費用被計算成0。針對此類漏洞，慢霧安全團隊建議在進行ERC-721標準的NFT轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTSURETREASUREREAxNFT價格LeisurePaytreasurechaintstrealmedicinesupplychain

火幣下載