NFT合約安全：上半年事件回顧與常見問題分析

2022年上半年，NFT領域安全形勢不容樂觀。據數據平台監測，共發生10起重大安全事件，造成約6490萬美元損失。主要攻擊手段包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord服務器頻繁遭受攻擊，用戶因點擊釣魚連結而損失的情況時有發生。

典型安全事件回顧

TreasureDAO事件

3月3日，TreasureDAO交易平台遭黑客攻擊，100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約的buyItem函數邏輯錯誤，未對代幣類型進行判斷，導致可以在支付0代幣的情況下購買NFT。這反映出ERC-1155和ERC-721代幣混用引發的邏輯混亂問題。

APE Coin空投事件

3月17日，黑客利用閃電貸獲取超6萬枚APE Coin空投。漏洞出現在AirdropGrapesToken空投合約中，合約僅通過即時狀態判斷NFT所有權，而這一狀態可被閃電貸操縱。

Revest Finance事件

3月27日，Revest Finance遭攻擊，損失12萬美元。漏洞涉及ERC-1155重入攻擊，源於depositAdditionalToFNFT()函數中的狀態變量更新時機不當。

NBA薅羊毛事件

4月21日，NBA項目遭黑客攻擊。問題出在The_Association_Sales合約的籤名校驗機制，存在籤名冒用和復用隱患。

Akutar事件

4月23日，Akutar項目的AkuAuction合約因邏輯漏洞，導致1.15萬ETH（約3400萬美元）被鎖死。主要問題在於退款函數的設計缺陷，未考慮用戶多次投標情況。

XCarnival事件

6月24日，XCarnival遭攻擊，黑客獲利3087枚以太坊。漏洞存在於XNFT合約，質押和借貸邏輯存在缺陷，允許攻擊者重復使用無效抵押記錄。

NFT合約常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查不嚴格

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能引發重入

4. 授權範圍過大：

   • 過度授權可能導致NFT被盜

5. 價格操控：

   • NFT價格依賴外部因素，易受閃電貸等攻擊

鑑於以上問題，NFT項目方應重視合約安全審計，以防範潛在風險，保障用戶資產安全。