NFT合約安全：上半年事件分析與常見問題探討

2022年上半年，NFT領域安全事件頻發，造成巨大損失。據數據平台監測，共發生10起主要安全事件，損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。其中，Discord平台上的釣魚攻擊尤爲猖獗，幾乎每天都有服務器遭受攻擊，導致用戶頻繁損失。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭黑客攻擊，100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中的邏輯問題。合約在處理ERC-1155和ERC-721代幣時未進行區分，導致可以在支付0代幣的情況下購買NFT。

APE Coin空投事件

2022年3月17日，黑客利用閃電貸獲取了超過6萬枚APE Coin空投。AirdropGrapesToken空投合約使用即時狀態判斷用戶對BAYC/MAYC NFT的所有權，被攻擊者利用閃電貸操縱。

Revest Finance事件

2022年3月27日，Revest Finance遭攻擊，損失12萬美元。漏洞出現在ERC-1155重入攻擊中，合約在鑄造新FNFT時未正確處理狀態變量，導致重入漏洞。

NBA薅羊毛事件

2022年4月21日，NBA項目遭黑客攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題，未對已使用籤名進行記錄和msg.sender校驗。

Akutar事件

2022年4月23日，Akutar項目的AkuAuction合約漏洞導致11539ETH（約3400萬美元）被鎖死。合約存在退款邏輯問題，未考慮用戶多次投標情況，使退款操作無法執行。

XCarnival事件

2022年6月24日，XCarnival被攻擊，損失3087枚以太坊（約380萬美元）。XNFT合約在質押NFT時未檢查xToken地址合法性，且借貸時未驗證抵押記錄狀態。

NFT合約常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查不嚴格

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 要求過度授權，增加NFT被盜風險

5. 價格操控：

   • NFT價格依賴易被操縱的因素

鑑於NFT合約安全事件頻發，專業安全審計顯得尤爲重要。項目方應重視合約安全，尋求專業機構進行全面審計，以降低安全風險。