NFT合約安全審計: 常見問題及典型案例分析

2022年上半年,NFT領域安全事件頻發,造成巨大經濟損失。據數據平台監測,共發生10起主要安全事件,損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是,Discord平台上的釣魚攻擊幾乎每天都在發生,導致個人用戶頻繁遭受損失。

上半年NFT典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻擊,導致100多個NFT被盜。事件根源是合約中的邏輯漏洞,ERC-1155和ERC-721代幣混用引發邏輯混亂。合約在計算代幣購買價格時誤用了ERC-721代幣的數量概念,且在代幣轉帳實現中未進行邏輯分離。

APE Coin空投事件

2022年3月17日,黑客利用閃電貸獲取超6萬枚APE Coin空投。漏洞存在於空投合約中,僅通過instant balance檢查NFT所有權,而這種狀態可被閃電貸操控。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻擊,損失約12萬美元。原因是ERC-1155重入漏洞,合約在鑄造新FNFT時未判斷是否已存在,且狀態變量自增在mint函數後,造成重入攻擊可能。

NBA NFT項目事件

2022年4月21日,NBA相關NFT項目遭攻擊。問題出在白名單驗證的籤名校驗環節,存在籤名冒用和復用兩個安全隱患。合約未存儲已使用籤名,且傳參時未校驗msg.sender。

Akutar事件

2022年4月23日,Akutar項目因合約漏洞導致1.15萬ETH(約3400萬美元)被鎖。主要存在兩個邏輯問題:退款函數可被惡意中斷;未考慮用戶多次投標情況導致退款永遠無法執行。

XCarnival事件

2022年6月24日,NFT借貸協議XCarnival被攻擊,損失約380萬美元。漏洞在於質押NFT時未驗證xToken地址,且借貸時未檢查抵押記錄狀態,使攻擊者可重復使用無效抵押進行借貸。

NFT合約審計常見問題

1. 籤名冒用和復用:

   • 缺少重復執行驗證,如用戶nonce
   • 籤名檢查不嚴格,如未檢查零地址情況

2. 邏輯漏洞:

   • 特殊鑄幣方式繞過總量限制
   • 拍賣時存在交易順序依賴攻擊風險

3. ERC721/ERC1155重入攻擊:

   • 轉帳通知功能可能引發重入

4. 授權範圍過大:

   • 要求全局授權而非單個代幣授權

5. 價格操控:

   • NFT價格依賴外部合約狀態,易被閃電貸操縱

鑑於NFT合約安全事件頻發,且審計中發現的常見漏洞往往與實際攻擊高度吻合,項目方應重視合約安全,尋求專業審計服務,以降低安全風險。