買以太坊 買以太坊
Ctrl+D 買以太坊
ads

TREASURE:怪事?盜了又歸還?TreasureDAO安全事件分析_Bitball Treasure

Author:

Time:1900/1/1 0:00:00

3月3日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于 Arbitrum 的 TreasureDAO NFT 交易市場被曝發現漏洞,導致100多個NFT被盜,令人意外的是,在事件發生幾小時后,攻擊者卻開始歸還被盜NFT(猜不透攻擊者的心思)。關于本次事件,成都鏈安技術團隊第一時間進行了分析。

總述

交易發起地址利用TreasureMarketplaceBuyer合約中存在的邏輯缺陷,通過該合約的buyItem函數的_quantity參數能夠置零且不影響ERC-721代幣交易的漏洞,將totalPrice置零從而無代價獲取ERC-721代幣。

馬士基及 IBM 宣布關閉其支持區塊鏈的航運解決方案 TradeLens:金色財經報道,丹麥航運公司馬士基和IBM正在撤回其支持區塊鏈的供應鏈產品TradeLens,該平臺將在明年第一季度末下線。馬士基商業平臺負責人RotemHershko表示,該平臺是可行的,但全球行業合作的需求方面是失敗的。因此,TradeLens沒有達到繼續工作和滿足作為獨立企業的財務預期所需的商業可行性水平。據悉,TradeLens平臺是在2018年宣布的,由IBM和馬士基旗下的GTDSolution聯合開發,是一個支持區塊鏈的航運解決方案,旨在促進更高效和安全的全球貿易。(the block)[2022/11/30 21:11:39]

交易發起地址:

LUNC已集成到Okse,可通過Apple Pay、Samsung Pay和Google Pay使用LUNC付款:10月12日消息,據Travaladd Crypto發推稱,Terra Luna Classic現已集成到Okse,用戶現在可以通過Apple Pay、Samsung Pay和Google Pay在180個國家/地區使用LUNC付款。[2022/10/12 10:32:39]

Arbitrum:0x9b1acd4336ebf7656f49224d14a892566fd48e68

被攻擊的合約:

巴西央行行長:不同意對加密資產進行嚴格監管:8月12日消息,巴西央行行長 Roberto Campos Neto 在參加一場加密主題會議上表示,由于開放金融系統(巴西央行于 2021 年開始推行)的發展,信用卡很快將不復存在。開放金融系統可使用戶在其移動設備上通過一個集成式 app 來解決財務生活中的各種問題。

此外,Neto 表示他不同意對加密資產進行嚴格監管,但強調了對托管集中度過高的擔憂,因為目前有四家公司持有 80% 的加密資產。(路透社)[2022/8/13 12:22:18]

Arbitrum:0x812cda2181ed7c45a35a691e0c85e231d218e273

攻擊交易:

Arbitrum:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

在Arbitrum上,交易發起者通過TreasureMarketplaceBuyer合約的buyItem函數傳入了數值為0的_quantity參數,從而無償購買了TokenID為5490的ERC-721代幣。(僅以此次交易為例)

?交易詳情

從代碼上來看,TreasureMarketplaceBuyer合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用TreasureMarketplace合約的buyItem函數來進行代幣購買。

TreasureMarketplaceBuyer 合約的?buyItem函數代碼

但是在調用TreasureMarketplace合約的buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。

TreasureMarketplace的buyItem函數代碼

涉及的代幣資產:

總結建議

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。

建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。

Tags:BUYTEMTREASUREREACARDbuyersFRZ Solar System CoinBitball TreasureEco Real Estate

歐易okex官網
EFI:GameFi:是游戲還是金融?_PlayGame Token

鏈游市場經過幾年發展,出現了Axie Infinity這樣的現象級游戲,游戲收入甚至超越魔獸世界,讓GameFi成為當下焦點活躍在大眾面前。GameFi可以理解成為Game+DeFi.

1900/1/1 0:00:00
EFI:頭部借貸協議進軍機構市場 DeFi 之夏會再次開啟嗎?_DEFI

就目前 DeFi 的基建水平、法律法規等方面來看,機構大規模采用 DeFi 協議還為時過早。原文標題:《CeDeFi?機構入場 DeFi 還有較長的路要走》炎炎夏日,DeFi 藍籌紛紛觸底反彈.

1900/1/1 0:00:00
DEFI:DeFi 大潮下 加密金融機構應如何穩健掘金?_USD

DeFi 來源于英文中的 Decentralized Finance,中文叫「去中心化金融」。廣義的 DeFi 是指基于區塊鏈的金融,它不依賴傳統金融機構,如券商、交易所或銀行等,而是基于區塊鏈.

1900/1/1 0:00:00
福布斯:福布斯雜志:DAO的構想很美好 但現實卻很骨感_Quontral

投資者和球迷們還有一切可以應用DAO場景的地方真的想好了嗎?在web3和去中心化的構建中,有一個奇怪的方面,那就是改革金融基礎設施的熱情,這就是對過去改革失敗的東西重新改革.

1900/1/1 0:00:00
USD:穩定幣挖礦錦囊:如何獲得高收益 哪些項目值得埋伏?_USDC

在綜合判斷安全性和收益率的情況下,推薦一些不同公鏈上的流動性挖礦機會。加密市場跟隨外部變化的趨勢越來越明顯,在外部環境不穩定的情況下,市場表現不佳,穩定幣理財成為更多人的需求.

1900/1/1 0:00:00
DAO:DAO能做什么:令人興奮還是令人擔憂?反思2021年_SWAP

DAO被認為是當今企業和其他組織最有效和最重要的協調工具。在本文的第一部分,我們討論了在2021年間看到的DAO的許多好處,但與任何創新一樣,人們擔心這一切對未來意味著什么.

1900/1/1 0:00:00
ads