BTC/HKD+0.04%
ETH/HKD+0.54%
LTC/HKD+0.44%
DOT/HKD+0.41%
ADA/HKD+0.58%
SOL/HKD+0.33%
XRP/HKD+0.65%
DOGE/US+1.1%前言
北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。
基礎信息
攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee
數據:150,000,000枚USDC從USDC Treasury轉移到Coinbase:金色財經報道,據Whale Alert數據顯示,150,000,000枚USDC(價值約149,997,458美元)從USDC Treasury轉移到Coinbase。[2022/12/27 22:09:20]
TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273
攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。
孫宇晨推文被Wallstreetbets官方Reddit置頂:據最新消息,北京時間8點半,WallStreetBets Reddit社區將波場TRON創始人兼BitTorrent CEO孫宇晨昨日推文置頂。推文內容:“今晚開市時,我將在亞洲購買100萬美元的GME!超過40億亞洲社區和2000萬TRX社區支持你們!小心,亞洲人來了!“繼狗狗幣之后,TRON成為第二個被WSB社區關注的數字貨幣,意味著WSB社區概念幣由購買狗狗幣改為購買波場TRX。值得注意的是,WSB社區關注狗狗幣之后,狗狗幣暴漲了十倍。[2021/1/29 14:22:40]
動態 | Google Play出現假冒Trezor的加密錢包應用:據infosecurity消息,Google Play上出現了一個模仿硬件錢包制造商Trezor的應用程序,該應用程序名為Coin Wallet,實際上會連接到一個假錢包,用來騙取用戶的加密資產。該錢包目前是Google Play上第二大熱門搜索。由于Trezor的多個安全層設置,假冒Trezor的應用程序不會對Trezor用戶造成影響。[2019/5/24]
根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。
跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。
根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。
這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
NFT(Non-Fungible Token)是指非同質化代幣,不可替換且不可分割,獨一無二。區別于常見的同質化代幣,例如BTC、ETH、BCH等,每個NFT都擁有與眾不同的ID標識.
1900/1/1 0:00:00就目前 DeFi 的基建水平、法律法規等方面來看,機構大規模采用 DeFi 協議還為時過早。原文標題:《CeDeFi?機構入場 DeFi 還有較長的路要走》炎炎夏日,DeFi 藍籌紛紛觸底反彈.
1900/1/1 0:00:00數字資產的合規之路,又向前邁進了一大步。歷時11個月,佛羅里達州創業公司TurnKey Jet終于獲得了有關代幣發行的美國證券交易委員會(SEC)企業融資部的無異議函.
1900/1/1 0:00:008 月 10 日,跨鏈協議 Poly Network 確認被盜,使用該協議的 O3 Swap 損失慘重,在以太坊、幣安智能鏈、Polygon 三條網絡上的資產幾乎被洗劫一空.
1900/1/1 0:00:00今天圈內的頭條消息:BSC鏈上又多一個爆雷項目——MetaSwap跑路。 據派頓檢測發現,MetaSwap項目方跑路,盜走的資金(約325萬美元)已轉移至Tornado.cash混幣.
1900/1/1 0:00:00大家好,我是佩佩,今天先來說下BSC鏈上的Pancake的IFO,正好今晚九點要開一期,最后在講講市場方面的東西.
1900/1/1 0:00:00
以太坊價格
