EFI:怪事?盗了又归还?TreasureDAO安全事件分析

3月3日,成都链安链必应-区块链安全态势感知平台舆情监测显示,基于 Arbitrum 的 TreasureDAO NFT 交易市场被曝发现漏洞,导致100多个NFT被盗,令人意外的是,在事件发生几小时后,攻击者却开始归还被盗NFT(猜不透攻击者的心思)。关于本次事件,成都链安技术团队第一时间进行了分析。

总述

交易发起地址利用TreasureMarketplaceBuyer合约中存在的逻辑缺陷,通过该合约的buyItem函数的_quantity参数能够置零且不影响ERC-721代币交易的漏洞,将totalPrice置零从而无代价获取ERC-721代币。

法国经济新闻电视台BFM Business在节目中提到DeFi应用Aave:据推特消息,法国 BFM 经济新闻电视台(BFM Business)在一期节目中邀请加密市场策略分析师 Nicolas Cheron 谈到加密金融和去中心化金融,该节目还特别提到了 DeFi 应用 Aave。BFM Business在法国是一家全国性的经济类电视台,曾开设了法国第一个经济新闻频道,旗下的广播也是全法收听人数最多的广播。[2021/1/25 13:25:15]

交易发起地址:

Arbitrum:0x9b1acd4336ebf7656f49224d14a892566fd48e68

ScalarCapital联合创始人:代币化比特币的去中心化版本是催化DeFi下一阶段增长的关键:9月23日消息,ScalarCapital联合创始人Linda Xie表示,代币化比特币的去中心化版本是催化DeFi下一阶段增长的关键。我相信tBTC会以团队对安全性、透明度和权力下放的承诺以及围绕该项目发展的强大社区的承诺提供最佳解决方案。(福布斯)[2020/9/23]

被攻击的合约:

Arbitrum:0x812cda2181ed7c45a35a691e0c85e231d218e273

攻击交易:

报告:DeFi用户只占数字货币使用者的1%,大部分为老玩家:最近由ARPA出具的一份报告显示,全球大约有500万数字货币使用者,而DeFi使用者只占1%。DeFi大部分的使用者是数字货币老玩家,促使他们使用DeFi的是高回报,年化最低15%的收益率才足够吸引他们参与DeFi。吸引人的利率、不需要KYC也有一定吸引力。因此报告得出结论,DeFi仍然是加密货币市场的利基市场。

此前消息,加密市场分析公司Messari 7月29日发布的数据显示,去中心化金融(DeFi)的总资产仅相当于加密资产总市值的1.5%。除了MakerDAO(MKR)之外,即使是Dogecoin(DOGE)的市值也比任何一个DeFi项目都要高。(Crypto Briefing)[2020/7/29]

Arbitrum:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

在Arbitrum上,交易发起者通过TreasureMarketplaceBuyer合约的buyItem函数传入了数值为0的_quantity参数,从而无偿购买了TokenID为5490的ERC-721代币。(仅以此次交易为例)

?交易详情

从代码上来看,TreasureMarketplaceBuyer合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用TreasureMarketplace合约的buyItem函数来进行代币购买。

TreasureMarketplaceBuyer 合约的?buyItem函数代码

但是在调用TreasureMarketplace合约的buyItem函数时,函数只对购买代币类型进行了判断,并没有对代币数量进行非0判断,导致ERC-721类型的代币可以在无视_quantity数值的情况下直接购买,从而实现了漏洞攻击。

TreasureMarketplace的buyItem函数代码

涉及的代币资产:

总结建议

本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,最后在代币转账时也没有进行分类讨论。

建议开发者在开发多种代币的销售贩卖合约时,需要根据不同代币的特性来进行不同情况的业务逻辑设计。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

币安币EFI:如何建立NFT艺术家的职业生涯

艺术家米哈-道巴克(Michah?Dowbak)将他的风格归功于他的父亲。“我的父亲是一位彩色玻璃艺术家,我小时候总是围绕着色彩和光线玩耍,你可以察觉到,童年的生活环境如何真正激发了我今天的艺术.

AAVE区块链:肖飒:写给NFT平台老板的一封信

敬启者: 在最近的交往中,我们遗憾地发现很多新晋NFT老板漠视法律,源于缺乏法律常识。抱有侥幸心理,时时刻刻想着“赚快钱”。针对这一棘手情况,我们不得不进行扫盲式普法.

[0:15ms0-3:474ms