SUR:TreasureDAO攻擊事件分析-ODAILY

前言

北京時間2022年03月03日，知道創宇區塊鏈安全實驗室監測到Arbitrum上TreasureDAO的NFT交易市場出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分NFT。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

事件分析

基礎信息

攻擊交易哈希：0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

Sei Network將于4月5日啟動Sei Sunken Treasure NFT“開盒”:4月4日消息，Layer1公鏈Sei Network宣布將于北京時間4月5日05:00啟動Sei Sunken Treasure NFT活動的第二階段，Seilors將能夠“開盒”他們的Sunken Treasure NFT并確定稀有性。Sei Network表示，自3月15日以來已鑄造了超過60萬個Sei Sunken Treasure NFT。[2023/4/4 13:44:19]

TreasureMarketplace：0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

Nadine Chakar將卸任State Street Digital負責一職:金色財經報道，?Nadine Chakar將卸任道富銀行加密部門State Street Digital負責人一職，State Street Digital涵蓋加密貨幣、中央銀行數字貨幣、區塊鏈和以數字資產托管為主要產品之一的代幣化。[2022/10/25 16:38:25]

TreasureMarketplaceBuyer：0x812cdA2181ed7c45a35a691E0C85E231D218E273

NFL選秀第一名Trevor Lawrence將簽約獎金轉為加密貨幣，估值2400萬美元:NFL選秀第一名Trevor Lawrence已經通過加密貨幣公司Blockfolio將他的全部簽約獎金轉換為了加密貨幣，包括BTC，ETH，SOL。Lawrence是2021年全國橄欖球聯盟的頭號總選，其簽約獎金估計約為2400萬美元。此前消息，Trevor Lawrence代言了加密貨幣投資組合管理APP Blockfolio。（News bitcoin）[2021/5/3 21:19:01]

攻擊流程

Pax Treasury在以太坊網絡銷毀超497.4萬枚PAX:金色財經報道，據Whale Alert數據，北京時間9月29日00:35，Pax Treasury在以太坊網絡銷毀4,974,236.5枚PAX，銷毀哈希為0x7e26644b87f52de213b7c97cdfa020901f20e0b713c8db73563a0f2c6fc3b6ff。[2020/9/29]

攻擊者調用TreasureMarketplaceBuyer合約的buyItem函數進行購買NFT的操作，但是我們從InputData中可以看出攻擊者傳入的_quantity參數為0。雖然傳入的購買NFT數量為0，但是攻擊者依然成功的獲得了一枚編號為的NFT，且TokensTranferred中并未進行代幣轉移。

攻擊核心

根據上述分析，問題核心可能出現在TreasureMarketplaceBuyer合約的buyItem函數。跟進分析后發現，用戶調用該函數后合約首先計算出用戶購買此NFT的價格，根據購買數量計算出總的價格并將所需支付的代幣轉入合約；然后調用TreasureMarketplace的buyItem將用戶需要購買的NFT從Marketplace購買到TreasureMarketplaceBuyer最后將NFT發送到用戶賬戶。觀察合約43-46行發現對ERC-721標準的NFT轉移并未對其進行數量判斷，若此時的_quantity為0，用戶依然會收到NFT。

跟進TreasureMarketplace的buyItem函數發現，合約從市場回購NFT時只需完成listedItem.quantity>=_quantity的限制條件后便開始轉移NFT到TreasureMarketplaceBuyer合約，若此時的_quantity為0，依然會轉移NFT到TreasureMarketplaceBuyer中。

根據上述分析后發現，當攻擊者調用TreasureMarketplaceBuyer合約的buyItem函數進行購買NFT時，若參數_quantity值為0，由于合約并沒有對NFT轉移數量的判斷，且計算價格totalPrice=_pricePerItem*_quantity結果為0，最后導致攻擊者能夠免費獲取該交易市場中ERC-721標準的NFT。

總結

這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷，且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室在此提醒，任何有關代幣轉移的操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

參考鏈接：

knownseclab.com

knownseclab.com/hacked-archive

Tags：NFTSURREATREASURENFTinderLeisureMetaREAU幣Cyclops Treasure

中幣