攻擊者利用市場漏洞攻擊 Arbitrum 的 Treasure DAO，取得超過 100 個 NFT

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

根據專注於安全的公司 Certik 撰寫的事後分析，一個建立在 Arbitrum 之上、名為 Treasure DAO 的不可替代代幣市場平台於 3 月 7 日上午 33:100（美國東部時間）遭到駭客攻擊。該公司的報告指出，“超過 XNUMX 個 NFT 在攻擊中被盜”，因為攻擊者利用了市場“買家購買商品”功能中的漏洞。

Certik 的事後分析顯示 Arbitrum NFT 交易平台 Treasure DAO 被超過 100 個 NFT 所利用

週四，領先的 Arbitrum NFT 市場 Treasure DAO 遭到攻擊，攻擊者發現了一個漏洞，導致「毫無戒心的用戶丟失了 100 多個 NFT」。區塊鏈安全公司 Certik 向 Bitcoin.com News 發送了對此次攻擊的事後分析，Certik 是一家分析、監控和評估智能合約、區塊鏈技術和去中心化金融 (defi) 協議的公司。

Certik 的分析細節稱：“Treasure DAO 是 Arbitrum 上的 NFT 交易平台，被未知攻擊者利用了該平台代碼中的缺陷。” 「該漏洞導致毫無戒心的用戶丟失了 100 多個 NFT。經過對 Twitter 上黑客錢包的初步分析和追踪，許多被盜的 NFT 被歸還。”

攻擊者利用市場漏洞攻擊 Arbitrum 的 Treasure DAO，用於 100 多個 NFT — 「攻擊者利用了市場 Buyer.buyItem 函數中的一個錯誤，使他們能夠將 _quantity 設為 0，」Certik 的事後分析稱。「如果數量為 0，totalPrice 也為 0，因為totalPrice = _pricePerItem * _quantity。這意味著攻擊者沒有為他們「購買」的 NFT 支付任何費用。由於不要求 _quantity > 0，因此函數可以正常執行。這個錯誤可以透過要求 _quantity 變數的值大於 0 來解決。”

此外，Certik 對 Treasure DAO 情況的分析指出，該協議的原生代幣 MAGIC 兌美元的損失減少了 40% 以上。 Treasure DAO 共同創辦人 John Patten 也是啾啾關於攻擊者竊取資金後的事件。「寶藏市場正在被利用。請刪除您的商品。我們將承擔該漏洞的成本——我個人將放棄我所有的 Smol 來修復此問題，」帕滕說。 Treasure DAO 聯合創辦人補充道：

我無法理解是什麼非人類目標是一個公平的搶劫市場，但他們不會打敗這個社區。

Certik 表示持續的鏈上分析和部署前審計可以遏制未來的區塊鏈協議漏洞

Certik 安全分析師表示，沒有人知道誰是這一漏洞的幕後黑手，但他補充說，許多用戶「很高興能歸還被盜的 NFT」。該公司對情況的事後總結最後補充說，僅僅利用一行程式碼就可能造成重大損失。該公司堅信，對特定區塊鏈協議的鏈上監控和部署前審計可以幫助阻止未來的漏洞。

Certik 的報告總結道：“這次黑客攻擊再次凸顯了一行代碼可能造成的數百萬美元的後果。” “徹底的部署前審計與持續的鏈上分析相結合，是 Web3 專案展示其安全承諾並向客戶保證資金安全的最佳方式。”

這個故事中的標籤

100 NFT、Arbitrum、Arbitrum Chain、攻擊者、區塊鏈安全、bug Treasure DAO、certik、Certik 分析、Certik 事後分析、Certik 安全、駭客、駭客、John Patten、MAGIC、Magic token、nft、NFT 駭客、NFT市場、NFT市場、NFT、Treasure DAO、Treasure DAO 錯誤、Treasure DAO 漏洞、Treasure DAO 駭客、Web3 項目

您對 Treasure DAO 駭客事件和 Certik 的事後分析報告有何看法？請在下面的評論部分告訴我們您對此主題的看法。

傑米·雷德曼

Jamie Redman 是 Bitcoin.com News 的新聞主管，也是居住在佛羅里達州的金融科技記者。自 2011 年以來，Redman 一直是加密貨幣社區的活躍成員。他對比特幣、開源代碼和去中心化應用程序充滿熱情。自 2015 年 5,000 月以來，Redman 已為 Bitcoin.com News 撰寫了 XNUMX 多篇關於當今出現的破壞性協議的文章。