NFT合约安全:2022上半年事件分析与常见问题剖析

2022年上半年,区块链安全领域发生了多起NFT相关的安全事件,造成了巨大的经济损失。本文将对这些事件进行深入分析,并探讨NFT合约审计过程中的常见问题。

NFT安全事件总览

据区块链安全监控平台数据显示,2022年上半年共发生10起重大NFT安全事件,总计损失约6490万美元。主要攻击手段包括合约漏洞利用、私钥泄露和钓鱼攻击等。值得注意的是,Discord平台上的钓鱼攻击几乎每天都在发生,给个人用户造成了频繁损失。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻击,导致100多个NFT被盗。

漏洞原因:合约逻辑混乱。TreasureMarketplaceBuyer合约的buyItem函数未对代币类型进行判断,直接用数量乘以单价计算总价,导致可以用0 ERC-20代币购买NFT。这是由于ERC-1155和ERC-721代币混用,而未对721代币做特殊处理造成的。

APE Coin空投事件

2022年3月17日,黑客通过闪电贷获取了超过6万个APE Coin空投。

漏洞原因:空投合约仅检查了用户的瞬时NFT持有状态,攻击者可以通过闪电贷临时借入NFT来获取空投。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻击,损失12万美元。

漏洞原因:ERC-1155重入攻击。合约在铸造新FNFT时未检查是否已存在,且状态变量自增在_mint()函数之后,造成了重入漏洞。

NBA项目事件

2022年4月21日,NBA项目遭黑客攻击。

漏洞原因:签名冒用和复用。合约未存储已使用的签名,且未校验msg.sender,导致签名可被重复使用和冒用。

Akutar事件

2022年4月23日,Akutar项目因合约漏洞导致1.1万ETH被锁定。

漏洞原因:退款逻辑缺陷。退款函数未考虑用户可投标多个NFT的情况,导致退款永远无法完成。

XCarnival事件

2022年6月24日,XCarnival遭攻击,黑客获利3087 ETH。

漏洞原因:借贷逻辑缺陷。合约未检查xToken地址的合法性,且未验证抵押记录状态,导致可重复使用无效抵押记录借贷。

NFT合约审计常见问题

1. 签名冒用和复用

   • 缺少签名重复使用验证
   • 签名检查逻辑不严谨

2. 逻辑漏洞

   • 铸币总量控制不当
   • 拍卖流程存在顺序依赖

3. ERC721/ERC1155重入攻击

   • 转账通知功能可能导致重入

4. 授权范围过大

   • 要求全部代币授权而非单个代币

5. 价格操控风险

   • NFT价格依赖易被操纵的指标

综上所述,NFT合约安全问题仍然普遍存在。项目方应重视合约安全审计,选择专业的安全团队进行全面检查,以避免类似安全事件的发生。