NFT合約安全:2022上半年事件回顧與審計常見問題分析

2022年上半年,NFT領域安全事件頻發,造成巨大經濟損失。據數據平台監測,共發生10起主要安全事件,損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。與此同時,Discord釣魚事件幾乎每日發生,個人用戶頻繁遭受損失。

典型安全事件回顧

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻擊,100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約的buyItem函數邏輯混亂,未對代幣類型進行判斷就直接計算價格,導致可以用0 ERC-20代幣購買NFT。這反映了ERC-1155和ERC-721代幣混用時可能產生的邏輯問題。

APE Coin空投事件

2022年3月17日,黑客通過閃電貸獲取超6萬APE Coin空投。AirdropGrapesToken空投合約僅通過balanceOf()判斷NFT所有權,而這種方式容易被閃電貸操控。

Revest Finance事件

2022年3月27日,Revest Finance遭攻擊,損失12萬美元。漏洞源於ERC-1155重入攻擊,合約在鑄造新FNFT時未判斷是否已存在,且狀態變量自增在_mint()後,造成重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA項目遭攻擊。The_Association_Sales合約在驗證白名單時存在籤名冒用和復用問題,未存儲已使用籤名且傳參時未校驗msg.sender。

Akutar事件

2022年4月23日,Akutar項目AkuAuction合約漏洞導致1.15萬ETH被鎖。主要存在兩個邏輯問題:退款函數可被惡意中斷;未考慮用戶多次投標情況導致退款無法執行。

XCarnival事件

2022年6月24日,XCarnival遭攻擊損失3087ETH。XNFT合約在質押NFT時未檢查xToken地址,且借貸時未檢測抵押記錄狀態,導致攻擊者可反復使用無效抵押借貸。

NFT合約審計常見問題

1. 籤名冒用和復用:缺少重復執行驗證;籤名檢查不合理。

2. 邏輯漏洞:管理員可突破總量限制鑄幣;拍賣時存在交易順序依賴攻擊。

3. ERC721/ERC1155重入攻擊:使用轉帳通知功能時可能導致重入。

4. 授權範圍過大:要求全局授權而非單個代幣授權,增加NFT被盜風險。

5. 價格操控:NFT價格依賴某合約代幣持有量,可被閃電貸操縱。

總的來說,NFT合約安全事件頻發反映了專業安全審計的重要性。項目方應重視合約安全,尋求專業審計以防範潛在風險。