前言
北京時間2022年03月03日,知道創宇區塊鏈安全實驗室?監測到?Arbitrum?上? TreasureDAO?的 NFT 交易市場 出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分 NFT 。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。
基礎信息
攻擊交易哈希:0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b
TreasureMarketplace:0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee
Bittrex Global現已支持USDD:據官方消息,Bittrex Global現已支持USDD。目前,Bittrex Global已開放USDD充值,并將很快支持USDD交易。
USDD(Decentralized USD)是波場聯合儲備(TRON DAO Reserve)與區塊鏈主流機構發起的去中心化超抵押穩定幣,當前在TRON、Ethereum、BNB Chain、BTTC等11條主流公鏈流通。USDD由多種主流數字資產超額抵押背書,包括TRX、BTC、USDT等。[2023/7/11 10:47:45]
TreasureMarketplaceBuyer:0x812cdA2181ed7c45a35a691E0C85E231D218E273
礦企Blockstream將于2024年第三季度推出ASIC礦機:金色財經報道,比特幣基礎設施公司Blockstream預計將在2024年第三季度左右推出專用集成電路(ASIC)礦機。該公司于2021年收購了以色列礦機制造商Spondoolies,并將制造商的核心團隊帶入Blockstream的礦業部門,該部門由ChrisCook領導,前Spondoolies首席執行官Assaf Gilboa擔任執行副總裁。2023年1月,Blockstream籌集了1.25億美元用于擴大挖礦業務,并表示計劃籌集更多資金為其挖礦業務提供資金。新的ASIC原定于2022年推出,但Back現在預計該礦機將在2024年下半年上市。[2023/6/14 21:35:02]
攻擊者調用?TreasureMarketplaceBuyer?合約的?buyItem?函數進行購買 NFT 的操作,但是我們從 InputData 中可以看出攻擊者傳入的?_quantity 參數為0。雖然傳入的購買 NFT 數量為0,但是攻擊者依然成功的獲得了一枚編號為 [5490] 的 NFT ,且 Tokens Tranferred 中并未進行代幣轉移。
財經網站Fxstreet分析師Elam:美聯儲接近發出縮減購債信號:財經網站Fxstreet分析師Elam分析指出,有三大跡象顯示美聯儲正接近縮減購債。一是費城聯儲主席哈克昨日表示是時候考慮縮減購債規模,這番表態符合美聯儲主席鮑威爾避免加息的政策思路;
二是美聯儲周三宣布,將開始拋售去年通過一項緊急貸款安排購入的公司債,雖然總規模只有區區136億美元,但這是美聯儲采取更大動作的暗示;三是美聯儲最新公布的褐皮書指出物價上漲壓力不斷增加,美聯儲有望在2周內發出縮減購債的信號。[2021/6/3 23:08:38]
根據上述分析,問題核心可能出現在?TreasureMarketplaceBuyer 合約的buyItem?函數。跟進分析后發現,用戶調用該函數后合約首先計算出用戶購買此NFT的價格,根據購買數量計算出總的價格并將所需支付的代幣轉入合約;然后調用 TreasureMarketplace 的 buyItem 將用戶需要購買的 NFT 從 Marketplace 購買到 TreasureMarketplaceBuyer 最后將 NFT 發送到用戶賬戶。觀察合約 43-46?行發現對 ERC-721 標準的 NFT 轉移并未對其進行數量判斷,若此時的 _quantity?為0,用戶依然會收到 NFT。
跟進 TreasureMarketplace 的 buyItem 函數發現,合約從市場回購 NFT 時只需完成 listedItem.quantity >= _quantity 的限制條件后便開始轉移 NFT?到TreasureMarketplaceBuyer?合約,若此時的?_quantity?為0,依然會轉移 NFT 到?TreasureMarketplaceBuyer?中。
根據上述分析后發現,當攻擊者調用?TreasureMarketplaceBuyer?合約的buyItem?函數進行購買 NFT 時,若參數?_quantity 值為0,由于合約并沒有對NFT轉移數量的判斷,且計算價格?totalPrice = _pricePerItem * _quantity?結果為0,最后導致攻擊者能夠免費獲取該交易市場中 ERC-721 標準的 NFT。
這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷,且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室?在此提醒,任何有關代幣轉移的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:NFTREABUYACEFeisty Doge NFTiht-real-estate-protocolBUY幣PLACE3價格
DeFi(去中心化金融)的核心特征之一是為任何可連接互聯網的人提供金融服務。傳統銀行主要通過為借貸設定利率進行盈利,DeFi協議也是如此.
1900/1/1 0:00:00HI~ 咱們小伙伴在投資某一個加密貨幣之前,除了確認當時的價格,通常還需要參考它的歷史成交。例如歷史K線圖,成交量,買賣單和一些技術指標數據,才能綜合判斷某個Token是否適合入手.
1900/1/1 0:00:00正如希臘神話西緒福斯(Sisyphus)一樣,其因前生罪惡受懲罰,無休止地將一塊巨石滾到山頂,而巨石總是一再滾落.
1900/1/1 0:00:00原標題:DeFi 經濟學的數學原理 一、區塊鏈的價值 “鏈上要干什么?能干什么?”這是一個本質且核心、卻往往被淡化的問題.
1900/1/1 0:00:00如果你急切地等待NFT到達Instagram,那么這一刻已經到來。您可以在源、快拍和消息中共享 NFT.
1900/1/1 0:00:00隨著NFT市場的日益火爆,各類NFT平臺受到的關注越來越多,妥善處理合規問題至關重要。大家都知道開個餐館要食品經營許可證,那么經營NFT平臺需要哪些證呢?郭律師團隊總結了八種在不同情形下可能涉及.
1900/1/1 0:00:00