NFT:慢霧：TreasureDAO NFT交易市場「零元購」漏洞分析

2022年03月03日，據慢霧區消息，TreasureDAO的NFT交易市場被曝出嚴重漏洞，TreasureDAO是一個基于Arbitrum上的NFT項目。目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

合約地址

TreasureMarketplaceBuyer:

0x812cda2181ed7c45a35a691e0c85e231d218e273

慢霧：Distrust發現嚴重漏洞，影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道，據慢霧區消息，Distrust 發現了一個嚴重的漏洞，影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器（PRNG）來訪問錢包的私鑰，目前已在現實世界中造成了實際影響。

漏洞詳情：該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器（PRNG）實現。該實現使用了 Mersenne Twister 算法，并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍：該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶，以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估：由于該漏洞的存在，攻擊者可以訪問并控制用戶的錢包，從而竊取其中的資金。截至 2023 年 8 月，已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案：我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包，并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

TreasureMarketplace:

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

0x2e3b85f85628301a0bce300dee3a6b04195a15ee

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

漏洞細節分析

1.用戶通過TreasureMarketplaceBuyer合約中的buyItem函數去購買NFT，該函數會先計算總共需要購買的價格并把支付所需的Token打入合約中，接著調用TreasureMarketplace合約中的buyItem從市場購買NFT到?TreasureMarketplaceBuyer?合約，接著在從TreasureMarketplaceBuyer合約中把NFT轉給用戶。

2.在TreasureMarketplace?合約中：??

可以發現若傳入的_quantity參數為0，則可以直接通過require(listedItem.quantity>=_quantity,"notenoughquantity");檢查并進入下面的轉移NFT流程，而其中沒有再次對ERC-721標準的NFT轉移進行數量判斷，使得雖然傳入的_quantity參數雖然為0，但仍然可以轉移ERC-721標準的NFT。而計算購買NFT的價格的計算公式為totalPrice=_pricePerItem*_quantity，因此購買NFT的價格被計算為0，導致了在市場上的所有ERC-721標準的NFT均可被免費購買。??

攻擊交易分析

此處僅展示一個攻擊交易的細節，其余攻擊交易的手法都一致，不再贅述。

攻擊交易：

https://arbiscan.io/tx/0x82a5ff772c186fb3f62bf9a8461aeadd8ea0904025c3330a4d247822ff34bc02

攻擊者：

0x4642d9d9a434134cb005222ea1422e1820508d7b

攻擊細節：

可以從下圖中看到，攻擊者調用了TreasureMarketplaceBuyer合約中的buyItem函數，并使傳入的_quantity參數為0。??

可以看到Token轉移均為0，攻擊者并沒有付出任何成本就成功購買了tokenID為3557的NFT，整個攻擊流程與上面的漏洞細節分析中所講的一致。

總結

本次漏洞的核心在于進行ERC-721標準的NFT轉移前，缺少了對于傳入的_quantity參數不為0的判斷，導致了ERC-721標準的NFT可以直接被轉移且計算價格時購買NFT所需費用被計算成0。針對此類漏洞，慢霧安全團隊建議在進行ERC-721標準的NFT轉移前，需對傳入的數量做好判斷，避免再次出現此類問題。

Tags：NFTSUROINTREASURE元宇宙概念是什么意思NFTnsure幣發行量韓國coinone交易所treasurechaintst

以太坊交易