NFT:慢雾：TreasureDAO NFT交易市场「零元购」漏洞分析_REA

2022年03月03日，据慢雾区消息，TreasureDAO的NFT交易市场被曝出严重漏洞，TreasureDAO是一个基于Arbitrum上的NFT项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

TreasureMarketplace:

慢雾：靓号黑客已获取到ParaSwap Deployer和QANplatform Deployer私钥权限:10月11日消息，据慢雾区情报，靓号黑客地址之一（0xf358..7036）已经获取到ParaSwap Deployer和QANplatform Deployer私钥权限。黑客从ParaSwap Deployer地址获取到约1千美元，并在QANplatform Deployer地址做了转入转出测试。慢雾MistTrack对0xf358..7036分析后发现，黑客同样盗取了The SolaVerse Deployer及其他多个靓号的资金。截止目前，黑客已经接收到超过17万美元的资金，资金没有进一步转移，地址痕迹有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:05]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

漏洞细节分析

1.用户通过TreasureMarketplaceBuyer合约中的buyItem函数去购买NFT，该函数会先计算总共需要购买的价格并把支付所需的Token打入合约中，接着调用TreasureMarketplace合约中的buyItem从市场购买NFT到?TreasureMarketplaceBuyer?合约，接着在从TreasureMarketplaceBuyer合约中把NFT转给用户。

2.在TreasureMarketplace?合约中：??

可以发现若传入的_quantity参数为0，则可以直接通过require(listedItem.quantity>=_quantity,"notenoughquantity");检查并进入下面的转移NFT流程，而其中没有再次对ERC-721标准的NFT转移进行数量判断，使得虽然传入的_quantity参数虽然为0，但仍然可以转移ERC-721标准的NFT。而计算购买NFT的价格的计算公式为totalPrice=_pricePerItem*_quantity，因此购买NFT的价格被计算为0，导致了在市场上的所有ERC-721标准的NFT均可被免费购买。??

攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。

攻击交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节：

可以从下图中看到，攻击者调用了TreasureMarketplaceBuyer合约中的buyItem函数，并使传入的_quantity参数为0。??

可以看到Token转移均为0，攻击者并没有付出任何成本就成功购买了tokenID为3557的NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为0的判断，导致了ERC-721标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成0。针对此类漏洞，慢雾安全团队建议在进行ERC-721标准的NFT转移前，需对传入的数量做好判断，避免再次出现此类问题。

标签：NFTSURSUREREANFTBOXSuretlyinSureBreakout Stake

波场热门资讯