NFT合约安全：上半年事件分析与常见问题探讨

2022年上半年，NFT领域安全事件频发，造成巨大损失。据数据平台监测，共发生10起主要安全事件，损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。其中，Discord平台上的钓鱼攻击尤为猖獗，几乎每天都有服务器遭受攻击，导致用户频繁损失。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭黑客攻击，100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约中的逻辑问题。合约在处理ERC-1155和ERC-721代币时未进行区分，导致可以在支付0代币的情况下购买NFT。

APE Coin空投事件

2022年3月17日，黑客利用闪电贷获取了超过6万枚APE Coin空投。AirdropGrapesToken空投合约使用即时状态判断用户对BAYC/MAYC NFT的所有权，被攻击者利用闪电贷操纵。

Revest Finance事件

2022年3月27日，Revest Finance遭攻击，损失12万美元。漏洞出现在ERC-1155重入攻击中，合约在铸造新FNFT时未正确处理状态变量，导致重入漏洞。

NBA薅羊毛事件

2022年4月21日，NBA项目遭黑客攻击。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题，未对已使用签名进行记录和msg.sender校验。

Akutar事件

2022年4月23日，Akutar项目的AkuAuction合约漏洞导致11539ETH（约3400万美元）被锁死。合约存在退款逻辑问题，未考虑用户多次投标情况，使退款操作无法执行。

XCarnival事件

2022年6月24日，XCarnival被攻击，损失3087枚以太坊（约380万美元）。XNFT合约在质押NFT时未检查xToken地址合法性，且借贷时未验证抵押记录状态。

NFT合约常见问题

1. 签名冒用和复用：

   • 缺少重复执行验证
   • 签名检查不严格

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能导致重入

4. 授权范围过大：

   • 要求过度授权，增加NFT被盗风险

5. 价格操控：

   • NFT价格依赖易被操纵的因素

鉴于NFT合约安全事件频发，专业安全审计显得尤为重要。项目方应重视合约安全，寻求专业机构进行全面审计，以降低安全风险。