慢霧：TreasureDAO NFT交易市場「零元購」漏洞分析_NFT:Idle Treasure Party

2022年03月03日，據慢霧區消息，TreasureDAO的NFT交易市場被曝出嚴重漏洞，TreasureDAO是一個基于Arbitrum上的NFT項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

慢霧：比特瀏覽器攻擊者已將236.27枚ETH轉入混幣器eXch:9月3日消息，慢霧MistTrack監測顯示，比特瀏覽器攻擊者已將236.27枚ETH（約38.6萬美元）轉入混幣器eXch，占被盜資金總額的70.6%。[2023/9/3 13:14:52]

TreasureMarketplace:

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

漏洞細節分析

1.用戶通過TreasureMarketplaceBuyer合約中的buyItem函數去購買NFT，該函數會先計算總共需要購買的價格并把支付所需的Token打入合約中，接著調用TreasureMarketplace合約中的buyItem從市場購買NFT到?TreasureMarketplaceBuyer?合約，接著在從TreasureMarketplaceBuyer合約中把NFT轉給用戶。

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

2.在TreasureMarketplace?合約中：??

慢霧：疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息，慢霧監測顯示，疑似加密交易所Gemini相關地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在過去5小時內歸集并轉出逾20萬枚ETH（超3億美元）。[2022/7/19 2:22:08]

可以發現若傳入的_quantity參數為0，則可以直接通過require(listedItem.quantity>=_quantity,"notenoughquantity");檢查并進入下面的轉移NFT流程，而其中沒有再次對ERC-721標準的NFT轉移進行數量判斷，使得雖然傳入的_quantity參數雖然為0，但仍然可以轉移ERC-721標準的NFT。而計算購買NFT的價格的計算公式為totalPrice=_pricePerItem*_quantity，因此購買NFT的價格被計算為0，導致了在市場上的所有ERC-721標準的NFT均可被免費購買。??

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了TreasureMarketplaceBuyer合約中的buyItem函數，并使傳入的_quantity參數為0。??

可以看到Token轉移均為0，攻擊者并沒有付出任何成本就成功購買了tokenID為3557的NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行ERC-721標準的NFT轉移前，缺少了對于傳入的_quantity參數不為0的判斷，導致了ERC-721標準的NFT可以直接被轉移且計算價格時購買NFT所需費用被計算成0。針對此類漏洞，慢霧安全團隊建議在進行ERC-721標準的NFT轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTREASURTREASUREnft幣未來價格上漲一千倍Made In Real LifeSafeInsureIdle Treasure Party

萊特幣