NFT合約安全：2022上半年事件分析及常見問題探討

2022年上半年，NFT領域安全事件頻發,造成巨額損失。本文將對這一時期的NFT合約安全態勢進行深入分析,探討典型案例及常見問題。

上半年NFT安全事件概況

據區塊鏈安全監控數據顯示,2022年上半年共發生10起重大NFT安全事件,累計損失約6490萬美元。主要攻擊方式包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是,Discord平台釣魚攻擊尤爲猖獗,幾乎每天都有用戶因此遭受損失。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻擊,100多個NFT被盜。

漏洞原因:合約邏輯混亂。TreasureMarketplaceBuyer合約的buyItem函數未對代幣類型進行判斷,導致可以在ERC-20代幣支付額爲0的情況下購買NFT。這是由於ERC-1155和ERC-721代幣混用,未對無數量概念的ERC-721做特殊處理所致。

APE Coin空投事件

2022年3月17日,黑客通過閃電貸獲取超6萬枚APE Coin空投。

漏洞原因:合約邏輯缺陷。空投合約僅通過balanceOf()判斷用戶對NFT的所有權,而這只能獲取瞬時狀態,可被閃電貸操縱。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻擊,損失12萬美元。

漏洞原因:ERC-1155重入攻擊。Revest合約在追加FNFT抵押資產時存在重入漏洞,源於鑄造函數中的外部調用。

NBA薅羊毛事件

2022年4月21日,NBA項目遭黑客攻擊。

漏洞原因:籤名驗證缺陷。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題。

Akutar事件

2022年4月23日,Akutar項目AkuAuction合約漏洞導致1.1萬ETH被鎖。

漏洞原因:退款邏輯缺陷。退款函數存在可被惡意阻斷的風險,且未考慮用戶多次投標情況,導致退款無法執行。

XCarnival事件

2022年6月24日,XCarnival遭攻擊損失380萬美元。

漏洞原因:抵押記錄校驗不嚴。XNFT合約在質押和借貸時未做充分檢查,導致可重復利用無效抵押記錄。

NFT合約常見安全問題

1. 籤名驗證問題:缺少重復執行驗證,籤名檢查不嚴格。

2. 邏輯漏洞:鑄幣限制不當,競拍流程存在漏洞。

3. ERC721/ERC1155重入攻擊:轉帳通知功能可能導致重入。

4. 過度授權:要求全局授權但實際僅需單個代幣授權。

5. 價格操縱:價格依賴可被閃電貸操縱的因素。

綜上所述,NFT合約安全問題復雜多樣,專業審計顯得尤爲重要。項目方應重視合約安全,全面評估潛在風險,確保用戶資產安全。