“零元购” TreasureDAO NFT 交易市场漏洞分析

2022年03月03日，据慢雾区消息，TreasureDAO的NFT交易市场被曝出严重漏洞，TreasureDAO是一个基于Arbitrum上的NFT项目。目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

合约地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

TreasureMarketplace:

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

Scam Sniffer：攻击者正在测试Blur批量挂单漏洞，请用户当心“零元购”钓鱼风险:3月9日消息，反网络钓鱼解决方案Scam Sniffer发文提醒称，其链上监控机器人在大约5小时前发现一笔可疑Blur交易，有攻击者正在测试Blur批量挂单的漏洞。在这笔交易中，攻击者自己尝试了“网络钓鱼”，并成功将6枚NFT实现了转移。

此前报道，慢雾生态安全合作伙伴Scam Sniffer演示了一个针对Blur NFT市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个“Root签名”即可以极低成本（特指“零元购”）钓走目标用户在Blur平台授权的所有NFT，Blur平台的这个“Root签名”格式类似“盲签”，用户无法识别这种签名的影响。[2023/3/9 12:51:56]

漏洞细节分析

CTFC专员提议设立“零售倡导办公室”，以保护散户加密投资者:9月29日消息，商品期货交易专员（CFTC）Caroline Pham提议设立一个“零售倡导办公室”，旨在扩大CFTC对投资者的保护职责，以保护散户加密投资者。Pham以美国证券交易委员会（SEC）的投资者权益保护办公室为蓝本，表示这是促进客户保护的“行之有效的方法”。

据悉，CFTC近期因其对Ooki DAO案件的“执法监管”而受到抨击，社区将其与美国证券交易委员会处理正在进行的Ripple案件中的执法策略进行比较。[2022/9/29 22:39:20]

1.用户通过TreasureMarketplaceBuyer合约中的buyItem函数去购买NFT，该函数会先计算总共需要购买的价格并把支付所需的代币打入合约中，接着调用TreasureMarketplace合约中的buyItem从市场购买NFT到?TreasureMarketplaceBuyer?合约，接着在从TreasureMarketplaceBuyer合约中把NFT转给用户。

Ripple CEO：XRP具有“零通胀动态”:金色财经报道，最近在接受CNBC采访时，Ripple首席执行官Brad Garlinghouse声称，XRP具有“零通胀动态”。他说，Ripple拥有很多，但XRPL的共识算法阻止了更多代币的创建。Garlinghouse称，这与PoW加密货币不同，例如比特币和以太坊等仍在被挖掘。当被问及美国证券交易委员会对Ripple提起的诉讼时，Garlinghouse重申了Ripple的辩护，即XRP并非投资合同，因为代币的持有者无法拥有该公司的股份。此外，Garlinghouse继续坚持Rippe并不控制XRP。[2021/5/27 22:47:52]

ZBG第四场“零门槛”FIL6Z申购活动已于8月5日11时开启:据ZBG官方消息，ZBG第四场“零门槛”FIL6Z打折申购已于8月5日11:00开启。本场申购将免除持仓ZT限制。申购额度10,000枚，申购价仅15USDT。约为市场价的7.5折。

据悉，五场申购活动结束后，本周内将会开放FIL6Z充提币并上线交易对，成功申购的FIL6Z可在ZB、ZBG流通。详情请咨询ZBG官网。[2020/8/5]

2.在TreasureMarketplace?合约中：

可以发现若传入的_quantity参数为0，则可以直接通过require(listedItem.quantity>=_quantity,"notenoughquantity");检查并进入下面的转移NFT流程，而其中没有再次对ERC-721标准的NFT转移进行数量判断，使得虽然传入的_quantity参数虽然为0，但仍然可以转移ERC-721标准的NFT。而计算购买NFT的价格的计算公式为totalPrice=_pricePerItem*_quantity，因此购买NFT的价格被计算为0，导致了在市场上的所有ERC-721标准的NFT均可被免费购买。

攻击交易分析

此处仅展示一个攻击交易的细节，其余攻击交易的手法都一致，不再赘述。

攻击交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻击者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻击细节：

可以从下图中看到，攻击者调用了TreasureMarketplaceBuyer合约中的buyItem函数，并使传入的_quantity参数为0。

可以看到代币转移均为0，攻击者并没有付出任何成本就成功购买了tokenID为3557的NFT，整个攻击流程与上面的漏洞细节分析中所讲的一致。

总结

本次漏洞的核心在于进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为0的判断，导致了ERC-721标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成0。针对此类漏洞，慢雾安全团队建议在进行ERC-721标准的NFT转移前，需对传入的数量做好判断，避免再次出现此类问题。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。