NFT合約安全:2022上半年事件分析與常見問題剖析

2022年上半年,區塊鏈安全領域發生了多起NFT相關的安全事件,造成了巨大的經濟損失。本文將對這些事件進行深入分析,並探討NFT合約審計過程中的常見問題。

NFT安全事件總覽

據區塊鏈安全監控平台數據顯示,2022年上半年共發生10起重大NFT安全事件,總計損失約6490萬美元。主要攻擊手段包括合約漏洞利用、私鑰泄露和釣魚攻擊等。值得注意的是,Discord平台上的釣魚攻擊幾乎每天都在發生,給個人用戶造成了頻繁損失。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻擊,導致100多個NFT被盜。

漏洞原因:合約邏輯混亂。TreasureMarketplaceBuyer合約的buyItem函數未對代幣類型進行判斷,直接用數量乘以單價計算總價,導致可以用0 ERC-20代幣購買NFT。這是由於ERC-1155和ERC-721代幣混用,而未對721代幣做特殊處理造成的。

APE Coin空投事件

2022年3月17日,黑客通過閃電貸獲取了超過6萬個APE Coin空投。

漏洞原因:空投合約僅檢查了用戶的瞬時NFT持有狀態,攻擊者可以通過閃電貸臨時借入NFT來獲取空投。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻擊,損失12萬美元。

漏洞原因:ERC-1155重入攻擊。合約在鑄造新FNFT時未檢查是否已存在,且狀態變量自增在_mint()函數之後,造成了重入漏洞。

NBA項目事件

2022年4月21日,NBA項目遭黑客攻擊。

漏洞原因:籤名冒用和復用。合約未存儲已使用的籤名,且未校驗msg.sender,導致籤名可被重復使用和冒用。

Akutar事件

2022年4月23日,Akutar項目因合約漏洞導致1.1萬ETH被鎖定。

漏洞原因:退款邏輯缺陷。退款函數未考慮用戶可投標多個NFT的情況,導致退款永遠無法完成。

XCarnival事件

2022年6月24日,XCarnival遭攻擊,黑客獲利3087 ETH。

漏洞原因:借貸邏輯缺陷。合約未檢查xToken地址的合法性,且未驗證抵押記錄狀態,導致可重復使用無效抵押記錄借貸。

NFT合約審計常見問題

1. 籤名冒用和復用

   • 缺少籤名重復使用驗證
   • 籤名檢查邏輯不嚴謹

2. 邏輯漏洞

   • 鑄幣總量控制不當
   • 拍賣流程存在順序依賴

3. ERC721/ERC1155重入攻擊

   • 轉帳通知功能可能導致重入

4. 授權範圍過大

   • 要求全部代幣授權而非單個代幣

5. 價格操控風險

   • NFT價格依賴易被操縱的指標

綜上所述,NFT合約安全問題仍然普遍存在。項目方應重視合約安全審計,選擇專業的安全團隊進行全面檢查,以避免類似安全事件的發生。