買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > Coinw > Info

REA:TreasureDAO 攻擊事件分析_REAPER幣

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

基礎信息

攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

彭博社:Blockstream正進行新一輪融資,估值或低于10億美元:12月7日消息,據彭博社引援知情人士報道,比特幣和區塊鏈基礎設施公司Blockstream正在籌集新資金,但估值遠低于前幾輪。該公司在2021年8月完成2.1億美元B輪融資中的估值為32億美元,但如今該估值可能已下跌近70%至10億美元以下。

Blockstream首席執行官Adam Back拒絕就融資規模或估值發表評論,但表示這筆資金將用于擴大托管加密礦工的能力。Back表示:“我們很快就賣光了所有容量,并且有大量積壓的現有客戶和新客戶與礦工一起尋求大規模托管。雖然比特幣價格和挖礦盈利能力下降,但托管率在過去幾個季度有所上升,我們的挖礦服務對我們來說是一項快速擴張的高利潤企業業務。”[2022/12/7 21:28:24]

TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273

動態 | Reddit用戶發現冒充比特幣錢包Trezor的詐騙網站:10月4日,Reddit用戶castorfromtheva發帖稱,發現了一個冒名頂替比特幣硬件錢包Trezor的詐騙網站。該用戶表示,他們進行了一項測試,一個URL錯誤確實會將用戶重定向到冒充Trezor的網站,同時可能安裝了受損的固件。(cointelegraph)[2019/10/5]

攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。

動態 | Bittrex將在1月17日推出DGB的美元市場:Bittrex發推稱,將在1月17日推出DigiByte(DGB)的美元市場。符合條件的Bittrex賬戶可自動啟用美元交易。[2019/1/11]

根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。

跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。

根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。

這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:NFTREABUYACECNFT幣REAPER幣onekeybuy是什么軟件ghostface幣今日價格

Coinw
ISS:瑞士:將調整現有立法 以適應加密貨幣監管_TCOIN幣

據Cointelegraph 3月21日報道,瑞士政府的立法機構——聯邦議會已經批準了一項指示瑞士聯邦委員會調整現有立法,以適應加密貨幣監管的動議.

1900/1/1 0:00:00
HEGIC:如何在HEGIC參與“流動性挖礦”?_ethereal高級含義

Hegic是一個去中心化的期權交易所,用戶無需注冊登陸、無需KYC,即可購買比特幣和以太坊的看漲期權和看跌期權,而流動性提供者(LP)實際上充當了期權的賣方,為平臺提供了期權交易所需的流動性.

1900/1/1 0:00:00
ASH:HashKey:全景式解讀 DeFi 永續衍生品生態版圖與發展脈絡_dydx幣最新價格

隨著永續合約底層性能的限制突破,復雜鏈上衍生品策略組合開始被采用,永續期權或將成為新的交易者認可的工具.

1900/1/1 0:00:00
ETF:彭博社:SEC要求兩個ETF基金從其代碼中刪除“區塊鏈”一詞_metfi幣總量

作者:Ana Berman  翻譯:Maya4月12日,彭博社援引知情人士的消息稱,美國證券交易委員會(SEC)要求兩個ETF基金從其字號中刪除“區塊鏈”一詞.

1900/1/1 0:00:00
比特幣:金色圖覽 | NFT交易市場TOP3周報(6.27-7.4)_數字貨幣辛巴幣

金色晨訊 | 4月14日隔夜重要動態一覽:21:00-7:00關鍵詞:新冠肺炎、區塊鏈應用、技術委員會、USDT增發 1.全球新冠肺炎確診病例超過190萬例.

1900/1/1 0:00:00
POOL:以太坊分水嶺:建立自我延續的生態系統_PoolStake

原文標題:《以太坊分水嶺》原文作者:David Hoffman,Bankless 聯合創始人原文編譯:Block unicoen在合并后的世界里,以太坊交易將通過一個非常具體和有序的流程流動.

1900/1/1 0:00:00
ads