NFT合約安全隱患頻發 2022上半年損失6490萬美元

robot
摘要生成中

NFT合約安全:2022上半年事件回顧與審計要點

2022年上半年,NFT領域安全事件頻發,造成巨額損失。據某區塊鏈安全平台監測,上半年共發生10起主要NFT安全事件,累計損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。其中Discord平台釣魚攻擊尤爲猖獗,幾乎每天都有服務器遭受攻擊,導致用戶資產損失。

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

典型安全事件回顧

TreasureDAO事件

3月3日,TreasureDAO交易平台遭黑客攻擊,100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中buyItem函數的邏輯錯誤,未對代幣類型進行判斷就計算價格,導致可用0代幣價格購買NFT。這體現了ERC-1155和ERC-721代幣混用引發的邏輯混亂問題。

APE Coin空投事件

3月17日,黑客利用閃電貸獲取了超6萬枚APE Coin空投。漏洞存在於AirdropGrapesToken空投合約,其僅通過balanceOf()判斷NFT所有權,而這種方式可被閃電貸操縱。

Revest Finance事件

3月27日,Revest Finance遭攻擊損失12萬美元。原因是Revest合約中存在ERC-1155重入漏洞,未正確處理FNFT鑄造邏輯。

NBA薅羊毛事件

4月21日,NBA項目遭黑客攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題,未對已使用籤名進行存儲和校驗。

Akutar事件

4月23日,Akutar項目AkuAuction合約漏洞導致1.15萬ETH(約3400萬美元)被鎖。主要存在兩個邏輯漏洞:退款函數可被惡意中斷,且未考慮用戶多次投標情況。

XCarnival事件

6月24日,XCarnival借貸協議被攻擊損失約380萬美元。XNFT合約中pledgeAndBorrow函數未對xToken地址和抵押記錄狀態進行有效檢查。

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

NFT合約審計常見問題

  1. 籤名冒用和復用:

    • 缺少重復執行驗證,如用戶nonce
    • 籤名檢查不嚴格,如未檢查零地址
  2. 邏輯漏洞:

    • 鑄幣總量限制不當
    • 拍賣過程存在交易順序依賴
  3. ERC721/ERC1155重入攻擊:

    • 轉帳通知功能可能導致重入
  4. 授權範圍過大:

    • 要求過度授權,增加資產被盜風險
  5. 價格操控:

    • NFT價格依賴可被操縱的外部數據

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

鑑於NFT合約安全事件頻發且損失巨大,項目方應重視合約安全審計,尋求專業安全公司進行全面檢測,以降低安全風險。

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 7
  • 分享
留言
0/400
PessimisticOraclevip
· 07-08 18:02
也就亏6000w美刀
回復0
LayerZeroHerovip
· 07-07 22:54
果然审计出问题了 链数据都不会骗人
回復0
无聊饭团vip
· 07-06 22:23
韭菜亏起来像锅炸油
回復0
ThesisInvestorvip
· 07-06 15:15
这就离谱了看看一个个的
回復0
经典割韭机vip
· 07-06 15:14
又有韭菜被收割咯
回復0
午夜卖币人vip
· 07-06 15:10
割韭菜没完了啊
回復0
MEVHunterXvip
· 07-06 14:52
玩归玩 别亏钱就行 项目方真坑
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)