“零元购” TreasureDAO NFT 交易市场漏洞分析

2022 年 03 月 03 日，据慢雾区消息，TreasureDAO 的 NFT 交易市场被曝出严重漏洞，TreasureDAO 是一个基于 Arbitrum（L2）上的 NFT 项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

CTFC专员提议设立“零售倡导办公室”，以保护散户加密投资者:9月29日消息，商品期货交易专员（CFTC）Caroline Pham提议设立一个“零售倡导办公室”，旨在扩大CFTC对投资者的保护职责，以保护散户加密投资者。Pham以美国证券交易委员会（SEC）的投资者权益保护办公室为蓝本，表示这是促进客户保护的“行之有效的方法”。

据悉，CFTC近期因其对Ooki DAO案件的“执法监管”而受到抨击，社区将其与美国证券交易委员会处理正在进行的Ripple案件中的执法策略进行比较。[2022/9/29 22:39:20]

TreasureMarketplace:

Frax Finance 的创始人：稳定币生态增长不是“零和游戏”，各项目需要合作增加流动性:7月25日消息，Frax Finance的创始人Sam Kazemian表示，只要稳定币通过共享流动性池和抵押计划“流动性相互成比例地增长”，稳定币之间就永远不会存在真正的竞争。Kazemian解释说，稳定币生态系统的增长并不是一场“零和游戏”，因为每个代币都越来越相互交织并依赖于彼此的表现。

Kazemian认为USDC在整个行业以及其储备的更高透明度应该使其成为生态系统内合作最有价值的稳定币。 他称USDC是一个“低风险和低创新的项目”，并承认它是其他稳定币进一步创新的基础层。尽管FRAX稳定币在算法上是部分稳定的，但Kazemian表示纯算法稳定币“根本行不通”。（Cointelegraph）[2022/7/25 2:35:50]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

微比特矿池将推出“零费率”BTC挖矿:据官方消息，微比特（ViaBTC）矿池于2020年7月1日-10月31日推出为期4个月的“零费率”BTC挖矿，凡≥300p的微比特中国用户，只均可参与。据悉，再结合使用微比特矿池推出的“智能挖矿”产品，能够有效避免币价波动造成的收益风险。[2020/7/1]

漏洞细节分析

1. 用户通过 TreasureMarketplaceBuyer 合约中的 buyItem 函数去购买 NFT，该函数会先计算总共需要购买的价格并把支付所需的代币打入合约中，接着调用 TreasureMarketplace 合约中的 buyItem 从市场购买 NFT 到? TreasureMarketplaceBuyer ?合约，接着在从 TreasureMarketplaceBuyer 合约中把 NFT 转给用户。

掌柜调查署丨兰建忠：火币合约实现“零分摊”关键在于“2+1”投资者保护基金:在今日的掌柜调查署上，火币集团副总裁兰建忠发言指出：火币合约实现全品种“零分摊”关键在于“2+1”的投资者保护基金先行赔付机制。

首先是安全备付金：火币合约和Huobi Global共用安全备付金。该保护基金总额20,000 BTC，专项用于应对火币平台可能出现的极端突发安全事故。

第二是风险准备金：风险准备金是用于应付因强平单未能平出而产生的穿仓损失。每一个合约品种，都有一个风险准备金。

第三是 零分摊保证金：零分摊保证金则是火币合约自2018年12月上线以来，就开启的一笔200万美元的“零分摊”保障资金。[2020/3/10]

2. 在 TreasureMarketplace?合约中：

可以发现若传入的 _quantity 参数为 0，则可以直接通过 require(listedItem.quantity >= _quantity, "not enough quantity"); 检查并进入下面的转移 NFT 流程，而其中没有再次对 ERC-721 标准的 NFT 转移进行数量判断，使得虽然传入的 _quantity 参数虽然为 0，但仍然可以转移 ERC-721 标准的 NFT。而计算购买 NFT 的价格的计算公式为 totalPrice = _pricePerItem * _quantity，因此购买 NFT 的价格被计算为 0，导致了在市场上的所有 ERC-721 标准的 NFT 均可被免费购买。

攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。

攻击交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节：

可以从下图中看到，攻击者调用了 TreasureMarketplaceBuyer 合约中的 buyItem 函数，并使传入的 _quantity 参数为 0。

可以看到代币转移均为 0，攻击者并没有付出任何成本就成功购买了 tokenID 为 3557 的 NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行 ERC-721 标准的 NFT 转移前，缺少了对于传入的 _quantity 参数不为 0 的判断，导致了 ERC-721 标准的 NFT 可以直接被转移且计算价格时购买 NFT 所需费用被计算成 0。针对此类漏洞，慢雾安全团队建议在进行 ERC-721 标准的 NFT 转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTSUREREATREASURENFTGNSUREStreamr DATAcointreasurechaintst

AVAX热门资讯