REA:“零元購” TreasureDAO NFT 交易市場漏洞分析_Realital Metaverse

2022年03月03日，據慢霧區消息，TreasureDAO的NFT交易市場被曝出嚴重漏洞，TreasureDAO是一個基于Arbitrum上的NFT項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

TreasureMarketplace:

成都市利用區塊鏈技術實現不動產首次登記“零材料”受理:12月6日消息，成都市規劃和自然資源局積極探索圍繞數據安全管理、業務智能審批、行為監測預警、數據協同共享等應用場景，建成“蓉e鏈”區塊鏈平臺，實現不動產首次登記“零材料”受理。將規劃和自然資源部門內部產生的土地出讓合同、劃撥決定書、建設用地規劃許可證、建設工程規劃許可證、土地核實意見書、權籍調查結果和外部產生的成都市建設工程并聯竣工驗收通知書等不動產首次登記申請材料，通過不動產單元代碼關聯并全量實時上“蓉e鏈”共享存證，確保業務環節前后銜接、數據真實準確，便利信息共享查詢追溯。（中國日報網）[2021/12/6 12:54:13]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

Ripple CEO：XRP具有“零通脹動態”:金色財經報道，最近在接受CNBC采訪時，Ripple首席執行官Brad Garlinghouse聲稱，XRP具有“零通脹動態”。他說，Ripple擁有很多，但XRPL的共識算法阻止了更多代幣的創建。Garlinghouse稱，這與PoW加密貨幣不同，例如比特幣和以太坊等仍在被挖掘。當被問及美國證券交易委員會對Ripple提起的訴訟時，Garlinghouse重申了Ripple的辯護，即XRP并非投資合同，因為代幣的持有者無法擁有該公司的股份。此外，Garlinghouse繼續堅持Rippe并不控制XRP。[2021/5/27 22:47:52]

漏洞細節分析

微比特礦池將推出“零費率”BTC挖礦:據官方消息，微比特（ViaBTC）礦池于2020年7月1日-10月31日推出為期4個月的“零費率”BTC挖礦，凡≥300p的微比特中國用戶，只均可參與。據悉，再結合使用微比特礦池推出的“智能挖礦”產品，能夠有效避免幣價波動造成的收益風險。[2020/7/1]

1.用戶通過TreasureMarketplaceBuyer合約中的buyItem函數去購買NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用TreasureMarketplace合約中的buyItem從市場購買NFT到?TreasureMarketplaceBuyer?合約，接著在從TreasureMarketplaceBuyer合約中把NFT轉給用戶。

Gate.io研究院發布“零知識證明于區塊鏈中的落地應用”報告:Gate.io研究院于今日發布“零知識證明于區塊鏈中的落地應用”報告。報告指出，在區塊鏈技術加快發展的背景下，多種應用場景應運而生，隨之而來的是用戶在隱私安全方面的更高需求。當前，眾多區塊鏈開發團隊提出了多種不同的用戶隱私安全保護機制。

其中，零知識證明與區塊鏈技術相結合作為一種新方案為提高區塊鏈隱私安全性提供了更多可能。該報告結合“零知識證明”的采納項目、區塊鏈系統“Zcash”的相關情況，對“Zcash”加密技術以及零知識證明進行了深入探討。 詳情點擊原文鏈接。[2020/6/28]

2.在TreasureMarketplace?合約中：

可以發現若傳入的_quantity參數為0，則可以直接通過require(listedItem.quantity>=_quantity,"notenoughquantity");檢查并進入下面的轉移NFT流程，而其中沒有再次對ERC-721標準的NFT轉移進行數量判斷，使得雖然傳入的_quantity參數雖然為0，但仍然可以轉移ERC-721標準的NFT。而計算購買NFT的價格的計算公式為totalPrice=_pricePerItem*_quantity，因此購買NFT的價格被計算為0，導致了在市場上的所有ERC-721標準的NFT均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了TreasureMarketplaceBuyer合約中的buyItem函數，并使傳入的_quantity參數為0。

可以看到代幣轉移均為0，攻擊者并沒有付出任何成本就成功購買了tokenID為3557的NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行ERC-721標準的NFT轉移前，缺少了對于傳入的_quantity參數不為0的判斷，導致了ERC-721標準的NFT可以直接被轉移且計算價格時購買NFT所需費用被計算成0。針對此類漏洞，慢霧安全團隊建議在進行ERC-721標準的NFT轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTTREASUREREASUREPawn My NFTIdle Treasure PartyRealital Metaversensure幣最新消息

Pol幣