Beh dove comprarli non è semplice, non è che puoi mandare bitcoin a caso sperando che arrivi un exploit vero, chi compra ha molti soldi e molti contatti, quindi una volta conosciute le persone e aziende giuste si fa una demo in presenza per essere sicuri di quello che si compra.
Dove venderli già è più semplice, ci sono diverse aziende (famose e non) che comprano, se vuoi avere un idea chiara dei prezzi al black market degli 0day, vai sulle taglie di zerodium: quello che pagano per ogni vuln è minimo 1/4 di quanto costa per un privato acquistarla. La più costosa al momento Android full-chain 0click che loro te la comprano a 2.5 milioni $, ma so che se vuoi comprarla tu sono 10 milioni $.
Non so se c'è chi li vende in darknet ma sarebbe follia, perché il venditore non può fidarsi di un escrow, l'exploit si copia come niente e non lascia traccia, e poi potrebbe rivenderlo o usarlo a sua insaputa. Di solito il venditore finché non riceve soldi non dà codice o PoC giustamente e puoi immaginare quanti scam ci siano in giro.
EDIT: avevo formulato male una frase, per essere chiari zerodium dice di non rivendere gli exploit che compra, il prezzo di cui parlo (10kk) si riferisce alle aziende che invece lo fanno, quelle che non si trovano su google.