“零元購” TreasureDAO NFT 交易市場漏洞分析_NFT

2022 年 03 月 03 日，據慢霧區消息，TreasureDAO 的 NFT 交易市場被曝出嚴重漏洞，TreasureDAO 是一個基于 Arbitrum（L2）上的 NFT 項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

Frax Finance 的創始人：穩定幣生態增長不是“零和游戲”，各項目需要合作增加流動性:7月25日消息，Frax Finance的創始人Sam Kazemian表示，只要穩定幣通過共享流動性池和抵押計劃“流動性相互成比例地增長”，穩定幣之間就永遠不會存在真正的競爭。Kazemian解釋說，穩定幣生態系統的增長并不是一場“零和游戲”，因為每個代幣都越來越相互交織并依賴于彼此的表現。

Kazemian認為USDC在整個行業以及其儲備的更高透明度應該使其成為生態系統內合作最有價值的穩定幣。 他稱USDC是一個“低風險和低創新的項目”，并承認它是其他穩定幣進一步創新的基礎層。盡管FRAX穩定幣在算法上是部分穩定的，但Kazemian表示純算法穩定幣“根本行不通”。（Cointelegraph）[2022/7/25 2:35:50]

TreasureMarketplace:

CityDAO Parcel 0 “零號地塊”空投申領窗口已向Citizen NFT持有者開放:5月18日消息，CityDAO宣布正式開始Parcel 0“零號地塊”空投，土地NFT申領窗口已向Citizen NFT持有者開放，截止日期為北京時間7月1日2:00。CityDAO于2021年10月29日購買了懷俄明州40英畝地塊，將地塊治理權鑄造為NFT并由公民NFT持有者分享，持有該NFT的用戶可以擁有對地塊財庫的治理權，但不擁有該土地的所有權。[2022/5/18 3:23:36]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

湖州電力物資供應簽約結算通過區塊鏈技術實現“零”跑辦:4月27日，湖州飛劍桿塔制造有限公司業務代表沈利平收到國網湖州供電公司發來的電子合同簽署任務短信提醒——“請登陸‘電e簽’平臺，審核并簽署‘2020年度鐵附件框架協議’，簽訂有效期為3個工作日”。沈利平隨即登錄“電e簽”統一簽署平臺，從收件箱中找到相應合同并復核無誤后，點擊“簽署”鍵，原本需要至少半天時間的合同簽署工作只花了短短5分鐘就完成了。如此高效的簽約工作得益于國網湖州供電公司對基于區塊鏈技術的電子合同簽署平臺的成功應用。[2020/5/1]

漏洞細節分析

聲音 | 前Coinbase首席技術官：比特幣和山寨幣不是“零和游戲”:據ambcrypto報道，前Coinbase首席技術官Balaji Srinivasan表示，比特幣和山寨幣之間存在分歧，如果將BTC視為數字黃金，那就有山寨幣的空間。我真的不想和那些認為這是“零和游戲”的人爭辯。有零和游戲，但我不認為BTC和山寨幣是“零和游戲”。我們的理念是“BTC和”而不是“BTC或”。在coinbase，無論我是在隱私幣還是智能合約等社區，每個人都知道，尊重并持有比特幣。[2020/1/19]

1. 用戶通過 TreasureMarketplaceBuyer 合約中的 buyItem 函數去購買 NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用 TreasureMarketplace 合約中的 buyItem 從市場購買 NFT 到? TreasureMarketplaceBuyer ?合約，接著在從 TreasureMarketplaceBuyer 合約中把 NFT 轉給用戶。

2. 在 TreasureMarketplace?合約中：

可以發現若傳入的 _quantity 參數為 0，則可以直接通過 require(listedItem.quantity >= _quantity, "not enough quantity"); 檢查并進入下面的轉移 NFT 流程，而其中沒有再次對 ERC-721 標準的 NFT 轉移進行數量判斷，使得雖然傳入的 _quantity 參數雖然為 0，但仍然可以轉移 ERC-721 標準的 NFT。而計算購買 NFT 的價格的計算公式為 totalPrice = _pricePerItem * _quantity，因此購買 NFT 的價格被計算為 0，導致了在市場上的所有 ERC-721 標準的 NFT 均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了 TreasureMarketplaceBuyer 合約中的 buyItem 函數，并使傳入的 _quantity 參數為 0。

可以看到代幣轉移均為 0，攻擊者并沒有付出任何成本就成功購買了 tokenID 為 3557 的 NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行 ERC-721 標準的 NFT 轉移前，缺少了對于傳入的 _quantity 參數不為 0 的判斷，導致了 ERC-721 標準的 NFT 可以直接被轉移且計算價格時購買 NFT 所需費用被計算成 0。針對此類漏洞，慢霧安全團隊建議在進行 ERC-721 標準的 NFT 轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTSURREATREASURENFT幣三年后價格1元SURE幣GREATAPE幣Idle Treasure Party

Filecoin