NFT合約安全:2022上半年事件回顧與審計要點

2022年上半年,NFT領域安全事件頻發,造成巨額損失。據某區塊鏈安全平台監測,上半年共發生10起主要NFT安全事件,累計損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。其中Discord平台釣魚攻擊尤爲猖獗,幾乎每天都有服務器遭受攻擊,導致用戶資產損失。

典型安全事件回顧

TreasureDAO事件

3月3日,TreasureDAO交易平台遭黑客攻擊,100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中buyItem函數的邏輯錯誤,未對代幣類型進行判斷就計算價格,導致可用0代幣價格購買NFT。這體現了ERC-1155和ERC-721代幣混用引發的邏輯混亂問題。

APE Coin空投事件

3月17日,黑客利用閃電貸獲取了超6萬枚APE Coin空投。漏洞存在於AirdropGrapesToken空投合約,其僅通過balanceOf()判斷NFT所有權,而這種方式可被閃電貸操縱。

Revest Finance事件

3月27日,Revest Finance遭攻擊損失12萬美元。原因是Revest合約中存在ERC-1155重入漏洞,未正確處理FNFT鑄造邏輯。

NBA薅羊毛事件

4月21日,NBA項目遭黑客攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題,未對已使用籤名進行存儲和校驗。

Akutar事件

4月23日,Akutar項目AkuAuction合約漏洞導致1.15萬ETH(約3400萬美元)被鎖。主要存在兩個邏輯漏洞:退款函數可被惡意中斷,且未考慮用戶多次投標情況。

XCarnival事件

6月24日,XCarnival借貸協議被攻擊損失約380萬美元。XNFT合約中pledgeAndBorrow函數未對xToken地址和抵押記錄狀態進行有效檢查。

NFT合約審計常見問題

1. 籤名冒用和復用:

   • 缺少重復執行驗證,如用戶nonce
   • 籤名檢查不嚴格,如未檢查零地址

2. 邏輯漏洞:

   • 鑄幣總量限制不當
   • 拍賣過程存在交易順序依賴

3. ERC721/ERC1155重入攻擊:

   • 轉帳通知功能可能導致重入

4. 授權範圍過大:

   • 要求過度授權,增加資產被盜風險

5. 價格操控:

   • NFT價格依賴可被操縱的外部數據

鑑於NFT合約安全事件頻發且損失巨大,項目方應重視合約安全審計,尋求專業安全公司進行全面檢測,以降低安全風險。