TreasureDAO Marketplace Zero-Price-Bug

Am 3. März 2022 wurde das Arbitrum-NFT-Ökosystem TreasureDAO in seinem Marketplace exploitet — rund 100+ NFTs (~1,4 Mio. $) wurden für praktisch null MAGIC gekauft. Die Buy-Funktion des Marketplace validierte nicht, dass der berechnete Gesamtpreis für eine gegebene Quantity ungleich null war, sodass ein Angreifer gelistete NFTs kaufen konnte, ohne zu zahlen.

Was geschah

TreasureDAOs Marketplace-buyItem berechnete totalPrice = pricePerItem * quantity. Durch Übermittlung einer Quantity von null (oder eines Wertes, der den Gesamtpreis auf null rundete/berechnete) bei gleichzeitigem Auslösen des NFT-Transfers erhielt der Angreifer die gelisteten NFTs, ohne MAGIC zu übertragen. Hunderte NFTs wurden aus aktiven Listings entzogen, bevor der Marketplace pausiert wurde.

Nachwirkungen

• TreasureDAO pausierte den Marketplace und arbeitete mit der Community an einem Restitutionsplan.
• Eine Reihe von NFTs wurde von Whitehats zurückgegeben und wiederhergestellt; teilweise Restitution folgte.

Warum es zählt

TreasureDAO ist ein sauberer Input-Validierungs-Fall — eine Funktion, die einen Asset-Transfer ausführt, muss validieren, dass jeder ökonomisch sinnvolle Parameter in einem vernünftigen Bereich liegt, einschließlich der degenerierten Fälle (null Quantity, null Preis), die kein legitimer Nutzer jemals übermitteln würde. Dieselbe „validiere den degenerierten Fall"-Lehre erscheint bei MonoX (ein Token gegen sich selbst tauschen) und im gesamten Katalog. NFT-Marketplaces sind eine wiederkehrende Instanz, weil ihre Preis-Mathematik (price × quantity, Royalties, Fee-Splits) mehr arithmetische Edge Cases hat als ein einfacher Transfer, und die Edge Cases sind genau dort, wo der Wert leckt.