“零元購” TreasureDAO NFT 交易市場漏洞分析_SUR

2022 年 03 月 03 日，據慢霧區消息，TreasureDAO 的 NFT 交易市場被曝出嚴重漏洞，TreasureDAO 是一個基于 Arbitrum（L2）上的 NFT 項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

ZBG第四場“零門檻”FIL6Z申購活動已于8月5日11時開啟:據ZBG官方消息，ZBG第四場“零門檻”FIL6Z打折申購已于8月5日11:00開啟。本場申購將免除持倉ZT限制。申購額度10,000枚，申購價僅15USDT。約為市場價的7.5折。

據悉，五場申購活動結束后，本周內將會開放FIL6Z充提幣并上線交易對，成功申購的FIL6Z可在ZB、ZBG流通。詳情請咨詢ZBG官網。[2020/8/5]

TreasureMarketplace:

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

微比特礦池將推出“零費率”BTC挖礦:據官方消息，微比特（ViaBTC）礦池于2020年7月1日-10月31日推出為期4個月的“零費率”BTC挖礦，凡≥300p的微比特中國用戶，只均可參與。據悉，再結合使用微比特礦池推出的“智能挖礦”產品，能夠有效避免幣價波動造成的收益風險。[2020/7/1]

漏洞細節分析

1. 用戶通過 TreasureMarketplaceBuyer 合約中的 buyItem 函數去購買 NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用 TreasureMarketplace 合約中的 buyItem 從市場購買 NFT 到? TreasureMarketplaceBuyer ?合約，接著在從 TreasureMarketplaceBuyer 合約中把 NFT 轉給用戶。

Gate.io研究院發布“零知識證明于區塊鏈中的落地應用”報告:Gate.io研究院于今日發布“零知識證明于區塊鏈中的落地應用”報告。報告指出，在區塊鏈技術加快發展的背景下，多種應用場景應運而生，隨之而來的是用戶在隱私安全方面的更高需求。當前，眾多區塊鏈開發團隊提出了多種不同的用戶隱私安全保護機制。

其中，零知識證明與區塊鏈技術相結合作為一種新方案為提高區塊鏈隱私安全性提供了更多可能。該報告結合“零知識證明”的采納項目、區塊鏈系統“Zcash”的相關情況，對“Zcash”加密技術以及零知識證明進行了深入探討。 詳情點擊原文鏈接。[2020/6/28]

金色財經現場報道 EosStore市場負責人羅斌：組建EOS社區的“零一二三”:金色財經現場報道，在EosStore競選超級節點暨“柚子資本發布會”上，EosStore市場負責人羅斌在演講中指出：“組建EOS社區將秉持“車庫咖啡的精神+投資孵化的功能+公平、開放的社區”的模式，做到‘零一二三’。零：社群的零門檻；一：一條主線，即‘一切以商業落地為核心’；二：投資和孵化的功能，投資者社區與開發者社區形成互動鏈接；三：組建三個職能環，投研團隊、資源匹配團隊、市場活動部門，我們會基于以上的幾點，提供力所能及的服務。”[2018/5/13]

2. 在 TreasureMarketplace?合約中：

可以發現若傳入的 _quantity 參數為 0，則可以直接通過 require(listedItem.quantity >= _quantity, "not enough quantity"); 檢查并進入下面的轉移 NFT 流程，而其中沒有再次對 ERC-721 標準的 NFT 轉移進行數量判斷，使得雖然傳入的 _quantity 參數雖然為 0，但仍然可以轉移 ERC-721 標準的 NFT。而計算購買 NFT 的價格的計算公式為 totalPrice = _pricePerItem * _quantity，因此購買 NFT 的價格被計算為 0，導致了在市場上的所有 ERC-721 標準的 NFT 均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了 TreasureMarketplaceBuyer 合約中的 buyItem 函數，并使傳入的 _quantity 參數為 0。

可以看到代幣轉移均為 0，攻擊者并沒有付出任何成本就成功購買了 tokenID 為 3557 的 NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行 ERC-721 標準的 NFT 轉移前，缺少了對于傳入的 _quantity 參數不為 0 的判斷，導致了 ERC-721 標準的 NFT 可以直接被轉移且計算價格時購買 NFT 所需費用被計算成 0。針對此類漏洞，慢霧安全團隊建議在進行 ERC-721 標準的 NFT 轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTTREASURESURSURENFTG幣Cyclops Treasurensure幣前景

USDT