NFT合约安全:2022上半年事件回顾与审计常见问题分析

2022年上半年,NFT领域安全事件频发,造成巨大经济损失。据数据平台监测,共发生10起主要安全事件,损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。与此同时,Discord钓鱼事件几乎每日发生,个人用户频繁遭受损失。

典型安全事件回顾

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻击,100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约的buyItem函数逻辑混乱,未对代币类型进行判断就直接计算价格,导致可以用0 ERC-20代币购买NFT。这反映了ERC-1155和ERC-721代币混用时可能产生的逻辑问题。

APE Coin空投事件

2022年3月17日,黑客通过闪电贷获取超6万APE Coin空投。AirdropGrapesToken空投合约仅通过balanceOf()判断NFT所有权,而这种方式容易被闪电贷操控。

Revest Finance事件

2022年3月27日,Revest Finance遭攻击,损失12万美元。漏洞源于ERC-1155重入攻击,合约在铸造新FNFT时未判断是否已存在,且状态变量自增在_mint()后,造成重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA项目遭攻击。The_Association_Sales合约在验证白名单时存在签名冒用和复用问题,未存储已使用签名且传参时未校验msg.sender。

Akutar事件

2022年4月23日,Akutar项目AkuAuction合约漏洞导致1.15万ETH被锁。主要存在两个逻辑问题:退款函数可被恶意中断;未考虑用户多次投标情况导致退款无法执行。

XCarnival事件

2022年6月24日,XCarnival遭攻击损失3087ETH。XNFT合约在质押NFT时未检查xToken地址,且借贷时未检测抵押记录状态,导致攻击者可反复使用无效抵押借贷。

NFT合约审计常见问题

1. 签名冒用和复用:缺少重复执行验证;签名检查不合理。

2. 逻辑漏洞:管理员可突破总量限制铸币;拍卖时存在交易顺序依赖攻击。

3. ERC721/ERC1155重入攻击:使用转账通知功能时可能导致重入。

4. 授权范围过大:要求全局授权而非单个代币授权,增加NFT被盗风险。

5. 价格操控:NFT价格依赖某合约代币持有量,可被闪电贷操纵。

总的来说,NFT合约安全事件频发反映了专业安全审计的重要性。项目方应重视合约安全,寻求专业审计以防范潜在风险。