“零元購” TreasureDAO NFT 交易市場漏洞分析_NFT:SURE

2022 年 03 月 03 日，據慢霧區消息，TreasureDAO 的 NFT 交易市場被曝出嚴重漏洞，TreasureDAO 是一個基于 Arbitrum（L2）上的 NFT 項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

TreasureMarketplace:

比特幣協會：我們對Bitcoin SV網絡的非法攻擊表示“零容忍”:官方消息，比特幣協會近日發布聲明表示：我們對Bitcoin SV網絡的非法攻擊表示“零容忍”。Bitcoin SV基礎架構團隊長期以來一直對網絡進行定期監控，近期協會發現BSV網絡上出現了非法攻擊。目前他們已經收集并記錄了自此次非法攻擊以來的全部相關數據，將提供給相關部門處理。[2021/7/9 0:39:26]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

漏洞細節分析

1. 用戶通過 TreasureMarketplaceBuyer 合約中的 buyItem 函數去購買 NFT，該函數會先計算總共需要購買的價格并把支付所需的代幣打入合約中，接著調用 TreasureMarketplace 合約中的 buyItem 從市場購買 NFT 到? TreasureMarketplaceBuyer ?合約，接著在從 TreasureMarketplaceBuyer 合約中把 NFT 轉給用戶。

Ripple CEO：XRP具有“零通脹動態”:金色財經報道，最近在接受CNBC采訪時，Ripple首席執行官Brad Garlinghouse聲稱，XRP具有“零通脹動態”。他說，Ripple擁有很多，但XRPL的共識算法阻止了更多代幣的創建。Garlinghouse稱，這與PoW加密貨幣不同，例如比特幣和以太坊等仍在被挖掘。當被問及美國證券交易委員會對Ripple提起的訴訟時，Garlinghouse重申了Ripple的辯護，即XRP并非投資合同，因為代幣的持有者無法擁有該公司的股份。此外，Garlinghouse繼續堅持Rippe并不控制XRP。[2021/5/27 22:47:52]

穩定幣初創公司Liquity計劃實施“零治理”:金色財經報道，即將啟動的穩定幣初創公司Liquity計劃實施“零治理”。最值得注意的是，Liquity的智能合約將根據需要進行調整（不需要由代幣持有者組成的治理委員會）。Liquity將沒有治理代幣，但仍計劃使用流動性挖掘來促進早期采用。其提供了一個“增長代幣”（GT），持有者將持續通過Liquity費用獲得少量收益。最近的電話會議尚未解決有關Liquity將通過GT獎勵哪些行為的問題。[2020/8/26]

2. 在 TreasureMarketplace?合約中：

可以發現若傳入的 _quantity 參數為 0，則可以直接通過 require(listedItem.quantity >= _quantity, "not enough quantity"); 檢查并進入下面的轉移 NFT 流程，而其中沒有再次對 ERC-721 標準的 NFT 轉移進行數量判斷，使得雖然傳入的 _quantity 參數雖然為 0，但仍然可以轉移 ERC-721 標準的 NFT。而計算購買 NFT 的價格的計算公式為 totalPrice = _pricePerItem * _quantity，因此購買 NFT 的價格被計算為 0，導致了在市場上的所有 ERC-721 標準的 NFT 均可被免費購買。

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了 TreasureMarketplaceBuyer 合約中的 buyItem 函數，并使傳入的 _quantity 參數為 0。

可以看到代幣轉移均為 0，攻擊者并沒有付出任何成本就成功購買了 tokenID 為 3557 的 NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行 ERC-721 標準的 NFT 轉移前，缺少了對于傳入的 _quantity 參數不為 0 的判斷，導致了 ERC-721 標準的 NFT 可以直接被轉移且計算價格時購買 NFT 所需費用被計算成 0。針對此類漏洞，慢霧安全團隊建議在進行 ERC-721 標準的 NFT 轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTREATREASURESUREFYZNFT價格GREATAPE價格Idle Treasure PartyHelmet.insure Governance Token

幣贏交易所