以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 中幣 > Info

TreasureDAO 攻擊事件分析_NFT

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

基礎信息

攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

逾1153萬枚BUSD從Pax Treasury轉入未知地址:Whale Alert數據顯示,北京時間10月11日12:24:28,11,537,009枚BUSD從Pax Treasury轉入0xc5a88開頭地址。[2020/10/11]

TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273

攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。

下午2點后的比特幣連續大額轉賬或為Bittrex的錢包整理:北京鏈安Chainsmap監測系統發現,今日下午兩點之后,鏈上連續的數萬枚BTC的轉賬交易來源于Bittrex交易所,事實上該交易所當前的出幣策略下,均會將數萬比特幣作為交易輸入連續進行大額轉賬,引起鏈上交易激增。但是,本次Bittrex的轉賬也有特別之處,它正在連續拆分出4000BTC為單位的UTXO,或是在進行錢包的整理工作。[2020/6/19]

分析 | 金色盤面:比特幣Google Trends指數上升:金色盤面綜合分析:據Google Trends數據顯示,bitcoin一詞在全球搜索熱度有所回升,主要搜索地區來自非洲國家,其中proshares bitcoin etf一詞近7日搜索量最高。[2018/8/24]

根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。

跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。

根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。

這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:NFTREASURBUYBNFTcream幣最新消息Surviving Soldiers創維電視onekeybuy可以卸載嗎

中幣
觀點:關于DAO 媒體忽視了什么?_DAO

來自老牌媒體的許多文章似乎從根本上誤解了DAO是什么以及它們如何運作。《紐約時報》:“現實侵入一個烏托邦式的加密愿景.

1900/1/1 0:00:00
美國國會聽證會實錄:高盛要做加密貨幣交易?摩根大通為什么發幣?_加密貨幣

北京時間4月11日,美國7大銀行負責人齊聚美國眾議院,參與了金融服務委員會的聽證會。向國會議員展示了自2008年金融危機以來銀行業的改革現狀.

1900/1/1 0:00:00
DeFi 大潮下 加密金融機構應如何穩健掘金?_EFI

DeFi 來源于英文中的 Decentralized Finance,中文叫「去中心化金融」。廣義的 DeFi 是指基于區塊鏈的金融,它不依賴傳統金融機構,如券商、交易所或銀行等,而是基于區塊鏈.

1900/1/1 0:00:00
墨西哥央行頒布新規:經營加密貨幣交易所變得幾乎不可能_加密貨幣

據bitcoin.com消息,墨西哥央行上周五在聯邦公報上發布了一份通知,詳細介紹了加密相關的金融科技機構監管規定.

1900/1/1 0:00:00
助力DeFi 2.0 算穩資產Gyro如何捕獲流動性?_GYRO

區塊鏈世界總是在迭代中前進。今年以來,公鏈風起云涌、NFT大放異彩、跨鏈方興未艾,加上元宇宙的出圈助攻,整個區塊鏈世界精彩紛呈,迎來更廣闊的發展空間.

1900/1/1 0:00:00
如何對DAO進行良好的治理?_CLE

本文的某些內容涉及潛在的法律風險和策略。作者不是律師,而且這些內容也不構成法律建議。所以在作出任何決定前,請咨詢律師.

1900/1/1 0:00:00
ads