NFT:“零元购” TreasureDAO NFT 交易市场漏洞分析_REA

2022 年 03 月 03 日，据慢雾区消息，TreasureDAO 的 NFT 交易市场被曝出严重漏洞，TreasureDAO 是一个基于 Arbitrum（L2）上的 NFT 项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

TreasureMarketplace:

Frax Finance 的创始人：稳定币生态增长不是“零和游戏”，各项目需要合作增加流动性:7月25日消息，Frax Finance的创始人Sam Kazemian表示，只要稳定币通过共享流动性池和抵押计划“流动性相互成比例地增长”，稳定币之间就永远不会存在真正的竞争。Kazemian解释说，稳定币生态系统的增长并不是一场“零和游戏”，因为每个代币都越来越相互交织并依赖于彼此的表现。

Kazemian认为USDC在整个行业以及其储备的更高透明度应该使其成为生态系统内合作最有价值的稳定币。 他称USDC是一个“低风险和低创新的项目”，并承认它是其他稳定币进一步创新的基础层。尽管FRAX稳定币在算法上是部分稳定的，但Kazemian表示纯算法稳定币“根本行不通”。（Cointelegraph）[2022/7/25 2:35:50]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

华为云混合云领域总裁：“零”等待同步区块链等10大类70+云服务:今日，华为云发布政企战略，并宣布华为云Stack系列新品正式上市。华为云混合云领域总裁吕阳明介绍，基于统一的华为云擎天架构，华为云Stack与华为云保持统一的API，可以在本地数据中心为客户提供与华为云一致的云服务使用体验，“零”等待同步AI、大数据、IoT、区块链等10大类70+云服务，共享华为云创新能力。[2020/5/15]

漏洞细节分析

1. 用户通过 TreasureMarketplaceBuyer 合约中的 buyItem 函数去购买 NFT，该函数会先计算总共需要购买的价格并把支付所需的代币打入合约中，接着调用 TreasureMarketplace 合约中的 buyItem 从市场购买 NFT 到? TreasureMarketplaceBuyer ?合约，接着在从 TreasureMarketplaceBuyer 合约中把 NFT 转给用户。

掌柜调查署丨兰建忠：火币合约实现“零分摊”关键在于“2+1”投资者保护基金:在今日的掌柜调查署上，火币集团副总裁兰建忠发言指出：火币合约实现全品种“零分摊”关键在于“2+1”的投资者保护基金先行赔付机制。

首先是安全备付金：火币合约和Huobi Global共用安全备付金。该保护基金总额20,000 BTC，专项用于应对火币平台可能出现的极端突发安全事故。

第二是风险准备金：风险准备金是用于应付因强平单未能平出而产生的穿仓损失。每一个合约品种，都有一个风险准备金。

第三是 零分摊保证金：零分摊保证金则是火币合约自2018年12月上线以来，就开启的一笔200万美元的“零分摊”保障资金。[2020/3/10]

2. 在 TreasureMarketplace?合约中：

可以发现若传入的 _quantity 参数为 0，则可以直接通过 require(listedItem.quantity >= _quantity, "not enough quantity"); 检查并进入下面的转移 NFT 流程，而其中没有再次对 ERC-721 标准的 NFT 转移进行数量判断，使得虽然传入的 _quantity 参数虽然为 0，但仍然可以转移 ERC-721 标准的 NFT。而计算购买 NFT 的价格的计算公式为 totalPrice = _pricePerItem * _quantity，因此购买 NFT 的价格被计算为 0，导致了在市场上的所有 ERC-721 标准的 NFT 均可被免费购买。

攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。

攻击交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节：

可以从下图中看到，攻击者调用了 TreasureMarketplaceBuyer 合约中的 buyItem 函数，并使传入的 _quantity 参数为 0。

可以看到代币转移均为 0，攻击者并没有付出任何成本就成功购买了 tokenID 为 3557 的 NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行 ERC-721 标准的 NFT 转移前，缺少了对于传入的 _quantity 参数不为 0 的判断，导致了 ERC-721 标准的 NFT 可以直接被转移且计算价格时购买 NFT 所需费用被计算成 0。针对此类漏洞，慢雾安全团队建议在进行 ERC-721 标准的 NFT 转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTSURESURREAPASTA Vault (NFTX)InsureumInsurance SupermarketIdle Treasure Party

Pol币热门资讯