NFT合约安全:2022上半年事件回顾与审计要点

2022年上半年,NFT领域安全事件频发,造成巨额损失。据某区块链安全平台监测,上半年共发生10起主要NFT安全事件,累计损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。其中Discord平台钓鱼攻击尤为猖獗,几乎每天都有服务器遭受攻击,导致用户资产损失。

典型安全事件回顾

TreasureDAO事件

3月3日,TreasureDAO交易平台遭黑客攻击,100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约中buyItem函数的逻辑错误,未对代币类型进行判断就计算价格,导致可用0代币价格购买NFT。这体现了ERC-1155和ERC-721代币混用引发的逻辑混乱问题。

APE Coin空投事件

3月17日,黑客利用闪电贷获取了超6万枚APE Coin空投。漏洞存在于AirdropGrapesToken空投合约,其仅通过balanceOf()判断NFT所有权,而这种方式可被闪电贷操纵。

Revest Finance事件

3月27日,Revest Finance遭攻击损失12万美元。原因是Revest合约中存在ERC-1155重入漏洞,未正确处理FNFT铸造逻辑。

NBA薅羊毛事件

4月21日,NBA项目遭黑客攻击。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题,未对已使用签名进行存储和校验。

Akutar事件

4月23日,Akutar项目AkuAuction合约漏洞导致1.15万ETH(约3400万美元)被锁。主要存在两个逻辑漏洞:退款函数可被恶意中断,且未考虑用户多次投标情况。

XCarnival事件

6月24日,XCarnival借贷协议被攻击损失约380万美元。XNFT合约中pledgeAndBorrow函数未对xToken地址和抵押记录状态进行有效检查。

NFT合约审计常见问题

1. 签名冒用和复用:

   • 缺少重复执行验证,如用户nonce
   • 签名检查不严格,如未检查零地址

2. 逻辑漏洞:

   • 铸币总量限制不当
   • 拍卖过程存在交易顺序依赖

3. ERC721/ERC1155重入攻击:

   • 转账通知功能可能导致重入

4. 授权范围过大:

   • 要求过度授权,增加资产被盗风险

5. 价格操控:

   • NFT价格依赖可被操纵的外部数据

鉴于NFT合约安全事件频发且损失巨大,项目方应重视合约安全审计,寻求专业安全公司进行全面检测,以降低安全风险。