NFT合约安全审计: 常见问题及典型案例分析

2022年上半年,NFT领域安全事件频发,造成巨大经济损失。据数据平台监测,共发生10起主要安全事件,损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。值得注意的是,Discord平台上的钓鱼攻击几乎每天都在发生,导致个人用户频繁遭受损失。

上半年NFT典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻击,导致100多个NFT被盗。事件根源是合约中的逻辑漏洞,ERC-1155和ERC-721代币混用引发逻辑混乱。合约在计算代币购买价格时误用了ERC-721代币的数量概念,且在代币转账实现中未进行逻辑分离。

APE Coin空投事件

2022年3月17日,黑客利用闪电贷获取超6万枚APE Coin空投。漏洞存在于空投合约中,仅通过instant balance检查NFT所有权,而这种状态可被闪电贷操控。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻击,损失约12万美元。原因是ERC-1155重入漏洞,合约在铸造新FNFT时未判断是否已存在,且状态变量自增在mint函数后,造成重入攻击可能。

NBA NFT项目事件

2022年4月21日,NBA相关NFT项目遭攻击。问题出在白名单验证的签名校验环节,存在签名冒用和复用两个安全隐患。合约未存储已使用签名,且传参时未校验msg.sender。

Akutar事件

2022年4月23日,Akutar项目因合约漏洞导致1.15万ETH(约3400万美元)被锁。主要存在两个逻辑问题:退款函数可被恶意中断;未考虑用户多次投标情况导致退款永远无法执行。

XCarnival事件

2022年6月24日,NFT借贷协议XCarnival被攻击,损失约380万美元。漏洞在于质押NFT时未验证xToken地址,且借贷时未检查抵押记录状态,使攻击者可重复使用无效抵押进行借贷。

NFT合约审计常见问题

1. 签名冒用和复用:

   • 缺少重复执行验证,如用户nonce
   • 签名检查不严格,如未检查零地址情况

2. 逻辑漏洞:

   • 特殊铸币方式绕过总量限制
   • 拍卖时存在交易顺序依赖攻击风险

3. ERC721/ERC1155重入攻击:

   • 转账通知功能可能引发重入

4. 授权范围过大:

   • 要求全局授权而非单个代币授权

5. 价格操控:

   • NFT价格依赖外部合约状态,易被闪电贷操纵

鉴于NFT合约安全事件频发,且审计中发现的常见漏洞往往与实际攻击高度吻合,项目方应重视合约安全,寻求专业审计服务,以降低安全风险。