慢雾：TreasureDAO NFT交易市场「零元购」漏洞分析

2022年03月03日，据慢雾区消息，TreasureDAO的NFT交易市场被曝出严重漏洞，TreasureDAO是一个基于Arbitrum上的NFT项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：相关信息

合约地址TreasureMarketplaceBuyer:0x812cda2181ed7c45a35a691e0c85e231d218e273TreasureMarketplace:0x2e3b85f85628301a0bce300dee3a6b04195a15ee漏洞细节分析

1.用户通过TreasureMarketplaceBuyer合约中的buyItem函数去购买NFT，该函数会先计算总共需要购买的价格并把支付所需的Token打入合约中，接着调用TreasureMarketplace合约中的buyItem从市场购买NFT到TreasureMarketplaceBuyer合约，接着在从TreasureMarketplaceBuyer合约中把NFT转给用户。

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

2.在TreasureMarketplace合约中：

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。[2022/5/10 3:03:22]

可以发现若传入的_quantity参数为0，则可以直接通过require(listedItem.quantity>=_quantity,"notenoughquantity");检查并进入下面的转移NFT流程，而其中没有再次对ERC-721标准的NFT转移进行数量判断，使得虽然传入的_quantity参数虽然为0，但仍然可以转移ERC-721标准的NFT。而计算购买NFT的价格的计算公式为totalPrice=_pricePerItem*_quantity，因此购买NFT的价格被计算为0，导致了在市场上的所有ERC-721标准的NFT均可被免费购买。攻击交易分析

慢雾：警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报，近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，当前总损失约 431 万美金。

经过慢雾安全追踪分析确认，此次攻击为批量谷歌关键词广告投放钓鱼，用户在谷歌搜索如：astroport，nexus protocol，anchor protocol 等这些知名的 Terra 项目，谷歌结果页第一条看似正常的广告链接（显示的域名甚至是一样的）实为钓鱼网站。 一旦用户不注意访问此钓鱼网站，点击连接钱包时，钓鱼网站会提醒直接输入助记词，一旦用户输入并点击提交，资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接，减少使用常用钱包进行非必要的操作，避免不必要的资损。[2022/4/21 14:37:55]

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。攻击交易：https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02攻击者：0x4642d9d9a434134cb005222ea1422e1820508d7b攻击细节：

可以从下图中看到，攻击者调用了TreasureMarketplaceBuyer合约中的buyItem函数，并使传入的_quantity参数为0。

可以看到Token转移均为0，攻击者并没有付出任何成本就成功购买了tokenID为3557的NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。总结

本次漏洞的核心在于进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为0的判断，导致了ERC-721标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成0。针对此类漏洞，慢雾安全团队建议在进行ERC-721标准的NFT转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTKETREASURENFTS价格PancakeToolsethereal另一半情侣名字treasurechaintst

ETH热门资讯