前言
北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。
基礎信息
攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee
Bittrex首席執行官將加入區塊鏈初創公司StormX董事會:Bittrex首席執行官Bill Shihara將加入區塊鏈初創公司StormX董事會。StormX公告稱,Bill Shihara在StormX最新一輪股權融資中投入“一筆未公開的款項”后,決定加入該初創公司董事會。(Cointelegraph)[2020/7/3]
TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273
攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。
Bittrex Global推出歐元加密交易市場 首批開通BTC:加密交易平臺Bittrex Global宣布將推出歐元加密交易市場,首批開通BTC/EUR、ETH/EUR、USDT/EUR、BSV/EUR以及TRX/EUR五個交易對,現在已可以進行充值,交易將于3月31日UTC時間5點(北京時間13時)開啟。(Coingeek)[2020/3/31]
根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。
USBcoin被確認是騙局,已從Bittrex移除:USBcoin被確認是騙局,已從Bittrex移除,為一個月內Bittrex交易所第五宗詐騙。更新:如今USBcoin將被移除出Bittrex交易所已是確鑿不移的事實,Bittrex還聲明從揭發上述詐騙中得到的賞金將會投入業界內使用。他們還打算將審批程序提上議程,為防止虛假數據還將提升內部安全系統。[2017/12/25]
跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。
根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。
這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:NFTBUYREASURMilady Vault (NFTX)Elon Buys TwitterStreamixSURE價格
在加密世界,2020年,是 DeFi 的時代。到目前為止,2021年,是 NFT 的時代。大家都知道火熱的 jpeg 之夏吧?2022年,將是社區 DAO 的時代.
1900/1/1 0:00:00作者:Yogita Khatri 翻譯:Penny毛里求斯金融服務委員會(FSC)澄清了適用于啟動證券型代幣(STO)項目的規則.
1900/1/1 0:00:00行業變化如此之快,我們該如何跟上最新的潮流呢?讓自己不落伍、不落后于人的關鍵就是,關注行業中最投入的人,那么,我們需要新聞聚合器來幫助我們實現這一想法.
1900/1/1 0:00:00北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人Kyle Kistner最初提到稱:“這似乎是一次預言機操縱攻擊.
1900/1/1 0:00:00本文與SUN幣項目方等相關團隊沒有任何宣發合作。 流程如下,只需要三步。 買TRX; 提幣到自己的錢包 將Trx幣從自己的錢包打到官方公布的合約地址.
1900/1/1 0:00:00加密貨幣作為一項新興事物,還沒有被很多國家所認可,所以加密貨幣如何征稅的具體方案離落地還很遠,但不少國家已經有了要對加密貨幣征稅的苗頭。不過也有一些國家直接做到了對加密貨幣免稅.
1900/1/1 0:00:00