NFT:TreasureDAO 攻击事件分析

前言

北京时间2022年03月03日，知道创宇区块链安全实验室?监测到?Arbitrum?上? TreasureDAO?的 NFT 交易市场 出现多次异常交易,黑客通过漏洞免费获取交易市场中部分 NFT 。知道创宇区块链安全实验室将对本次事件深入跟踪并进行分析。

基础信息

攻击交易哈希：0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

TreasureMarketplace：0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

苹果App Store上出现假冒Trezor的恶意应用程序Trezor Wallet Suite:6月20日消息，苹果App Store上出现一款假冒Trezor的恶意应用程序Trezor Wallet Suite，该应用已经上架了几周，可能已经窃取了数千人的资金。该恶意程序最初由The Crypto Lawyers的管理合伙人Rafael Yakobi发现。Trezor的实际iOS应用程序被称为“Trezor Suite Lite”，使用户能够跟踪他们的投资组合并交易资产。如果用户忘记了钱包应用的登录细节，钱包供应商会要求他们离线存储种子短语。种子短语是最后一道防线，用户只能用它从钱包应用程序中收回资金。

Trezor为用户提供了Shamir备份，以帮助他们生成多个种子短语，这些种子短语可以存储在不同的物理位置。下载应用程序后，用户可以选择一定数量的短语来解锁资金。例如，他们可以生成三个种子短语，但只需要两个就可以解锁他们的资金。而使用假冒的Trezor Wallet Suite泄露种子短语的用户可能创建了一个种子短语。生成多个种子短语需要用户创建新的钱包。多个种子短语可以确保即使假冒应用获取了一个短语，它也无法访问用户资金。

截至发稿时，这款假冒应用已成为英国区App Store搜索量第二高的应用。（BeInCrypto）[2023/6/20 21:49:55]

TreasureMarketplaceBuyer：0x812cdA2181ed7c45a35a691E0C85E231D218E273

USDC Treasury在以太坊链上增发2000万枚USDC:据Whale Alert数据显示，北京时间8月28日14:54，USDC Treasury在以太坊网络上增发2000万枚USDC。哈希值为：0xbe998c3fbbda77c10e558d9423c855bd707255de4d287fae549c765b89d379c3。[2020/8/28]

攻击者调用?TreasureMarketplaceBuyer?合约的?buyItem?函数进行购买 NFT 的操作，但是我们从 InputData 中可以看出攻击者传入的?_quantity 参数为0。虽然传入的购买 NFT 数量为0，但是攻击者依然成功的获得了一枚编号为 [5490] 的 NFT ，且 Tokens Tranferred 中并未进行代币转移。

动态 | Kraken仅用15分钟时间就破解了Trezor的加密硬件钱包:金色财经报道，数字资产交易所Kraken发布推文称，其安全实验室仅花了15分钟时间就破解了Trezor的两个加密硬件钱包。据悉，他们能够通过操纵微控制器中的电压来访问Trezor One和T钱包钥匙。该漏洞已被发现了一段时间，并且在其他硬件钱包中也已发现该漏洞。要利用此错误，攻击者需要访问物理设备，从而限制了此威胁的严重性。但是，可以很容易地制造出用于破解Trezor钱包的设备。总体而言，该团队表示，使用专用设备只需花费15分钟即可利用此漏洞。Trezor团队已经意识到了这个问题，并很快发布了对Kraken的回应。据悉，要修复此漏洞可能需要重新设计硬件。[2020/2/1]

根据上述分析，问题核心可能出现在?TreasureMarketplaceBuyer 合约的buyItem?函数。跟进分析后发现，用户调用该函数后合约首先计算出用户购买此NFT的价格，根据购买数量计算出总的价格并将所需支付的代币转入合约；然后调用 TreasureMarketplace 的 buyItem 将用户需要购买的 NFT 从 Marketplace 购买到 TreasureMarketplaceBuyer 最后将 NFT 发送到用户账户。观察合约 43-46?行发现对 ERC-721 标准的 NFT 转移并未对其进行数量判断，若此时的 _quantity?为0，用户依然会收到 NFT。

跟进 TreasureMarketplace 的 buyItem 函数发现，合约从市场回购 NFT 时只需完成 listedItem.quantity >= _quantity 的限制条件后便开始转移 NFT?到TreasureMarketplaceBuyer?合约，若此时的?_quantity?为0，依然会转移 NFT 到?TreasureMarketplaceBuyer?中。

根据上述分析后发现，当攻击者调用?TreasureMarketplaceBuyer?合约的buyItem?函数进行购买 NFT 时，若参数?_quantity 值为0，由于合约并没有对NFT转移数量的判断，且计算价格?totalPrice = _pricePerItem * _quantity?结果为0，最后导致攻击者能够免费获取该交易市场中 ERC-721 标准的 NFT。

这次攻击产生的主要原因是项目方对NFT转移数量并未做足够的判断，且并未考虑到购买数量为0的恶意购买行为。知道创宇区块链安全实验室?在此提醒，任何有关代币转移的操作都需要慎重考虑，合约审计、风控措施、应急计划等都有必要切实落实。

标签：NFTSURZORREANFT SolPadFInsurZORTGREATAPE

抹茶交易所热门资讯