前言
北京时间2022年03月03日,知道创宇区块链安全实验室监测到Arbitrum上TreasureDAO的NFT交易市场出现多次异常交易,黑客通过漏洞免费获取交易市场中部分NFT。知道创宇区块链安全实验室将对本次事件深入跟踪并进行分析。
事件分析
基础信息
攻击交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
PaxosTreasury销毁64,087,057枚BUSD:金色财经报道,Whale Alert监测数据显示,北京时间2023年2月18日05:59,PaxosTreasury销毁64,087,057枚BUSD。[2023/2/18 12:14:25]
TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee
TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273
数据:60,000,000枚USDT从Tether Treasury转移到Binance:金色财经报道,Whale Alert数据显示,60,000,000枚USDT从Tether Treasury转移到Binance。[2022/10/28 11:52:17]
攻击流程
攻击者调用TreasureMarketplaceBuyer合约的buyItem函数进行购买NFT的操作,但是我们从InputData中可以看出攻击者传入的_quantity参数为0。虽然传入的购买NFT数量为0,但是攻击者依然成功的获得了一枚编号为的NFT,且TokensTranferred中并未进行代币转移。
1500万枚USDT从Tether Treasury钱包转出,价值1497.5万美元:据Whale Alert数据显示,北京时间08月16日05:40, 1500万枚USDT从Tether Treasury钱包转入TCTrwC开头地址,按当前价格计算,价值约1497.5万美元,交易哈希为:1e1c751d81d8ae9d45b347455f3937cd0e67a28785ba89112e71147840898c16。[2020/8/16]
动态 | USDC Treasury向以太坊网络增发1000万枚USDC:据Whale Alert监测,北京时间12月18日9点21分,USDC Treasury向以太坊网络增发1000万枚USDC。[2019/12/18]
攻击核心
根据上述分析,问题核心可能出现在TreasureMarketplaceBuyer合约的buyItem函数。跟进分析后发现,用户调用该函数后合约首先计算出用户购买此NFT的价格,根据购买数量计算出总的价格并将所需支付的代币转入合约;然后调用TreasureMarketplace的buyItem将用户需要购买的NFT从Marketplace购买到TreasureMarketplaceBuyer最后将NFT发送到用户账户。观察合约43-46行发现对ERC-721标准的NFT转移并未对其进行数量判断,若此时的_quantity为0,用户依然会收到NFT。
跟进TreasureMarketplace的buyItem函数发现,合约从市场回购NFT时只需完成listedItem.quantity>=_quantity的限制条件后便开始转移NFT到TreasureMarketplaceBuyer合约,若此时的_quantity为0,依然会转移NFT到TreasureMarketplaceBuyer中。
根据上述分析后发现,当攻击者调用TreasureMarketplaceBuyer合约的buyItem函数进行购买NFT时,若参数_quantity值为0,由于合约并没有对NFT转移数量的判断,且计算价格totalPrice=_pricePerItem*_quantity结果为0,最后导致攻击者能够免费获取该交易市场中ERC-721标准的NFT。
总结
这次攻击产生的主要原因是项目方对NFT转移数量并未做足够的判断,且并未考虑到购买数量为0的恶意购买行为。知道创宇区块链安全实验室在此提醒,任何有关代币转移的操作都需要慎重考虑,合约审计、风控措施、应急计划等都有必要切实落实。
参考链接:
knownseclab.com
knownseclab.com/hacked-archive
标签:NFTBUYLACESURECNFT价格onekeybuy是什么软件tokenplace币简介nsure币能涨到多少
加密货币经常被描绘成一个金融狂野的西部,一个正在创造大量机会的行业,以及一系列新陷阱。像所有创新事物一样,当您使用加密货币时,您也会面临风险。我们不仅仅指价格波动.
瑞士加密货币行业着力解决劳动力短缺问题“区块链作为一个技术概念并不难懂,”瑞士洛桑联邦理工学院计算机和通信科学系系主任詹姆斯·拉鲁斯(JamesLarus)说.
基础设施中间件协议PocketNetwork报告称,其协议收入、中继数量、节点数量及节点收入都实现了创纪录的增长.
近日,据彭博分析师预测,基于机构需求以及美国可能的政策变化,到2028年,加密支持的交易所交易产品和ETF的管理资产可能超过1200亿美元。此外,比特币现货ETF或将于2023年在美国获得批准.
具体项目调研 下面将按不同分类以及元宇宙开放程度,对上述项目做具体的分析。分类方式介绍:将对项目分为“可编辑空间或可进入空间游玩”,“与DeFi结合”,“尚未确定”三个大类别;同时将根据“具有本.
“Web3”和“网络效应”这两个词现在变得比“机器学习”或“人工智能”更经常被滥用。这些术语被紧跟热点的推特大V拿去乱用,令人感到窒息和头疼,久而久之,这两个术语竟成为流行语,但关于其运行的本质.