NFT合约安全：上半年事件回顾与常见问题分析

2022年上半年，NFT领域安全形势不容乐观。据数据平台监测，共发生10起重大安全事件，造成约6490万美元损失。主要攻击手段包括合约漏洞利用、私钥泄露和钓鱼等。值得注意的是，Discord服务器频繁遭受攻击，用户因点击钓鱼链接而损失的情况时有发生。

典型安全事件回顾

TreasureDAO事件

3月3日，TreasureDAO交易平台遭黑客攻击，100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约的buyItem函数逻辑错误，未对代币类型进行判断，导致可以在支付0代币的情况下购买NFT。这反映出ERC-1155和ERC-721代币混用引发的逻辑混乱问题。

APE Coin空投事件

3月17日，黑客利用闪电贷获取超6万枚APE Coin空投。漏洞出现在AirdropGrapesToken空投合约中，合约仅通过即时状态判断NFT所有权，而这一状态可被闪电贷操纵。

Revest Finance事件

3月27日，Revest Finance遭攻击，损失12万美元。漏洞涉及ERC-1155重入攻击，源于depositAdditionalToFNFT()函数中的状态变量更新时机不当。

NBA薅羊毛事件

4月21日，NBA项目遭黑客攻击。问题出在The_Association_Sales合约的签名校验机制，存在签名冒用和复用隐患。

Akutar事件

4月23日，Akutar项目的AkuAuction合约因逻辑漏洞，导致1.15万ETH（约3400万美元）被锁死。主要问题在于退款函数的设计缺陷，未考虑用户多次投标情况。

XCarnival事件

6月24日，XCarnival遭攻击，黑客获利3087枚以太坊。漏洞存在于XNFT合约，质押和借贷逻辑存在缺陷，允许攻击者重复使用无效抵押记录。

NFT合约常见问题

1. 签名冒用和复用：

   • 缺少重复执行验证
   • 签名检查不严格

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能引发重入

4. 授权范围过大：

   • 过度授权可能导致NFT被盗

5. 价格操控：

   • NFT价格依赖外部因素，易受闪电贷等攻击

鉴于以上问题，NFT项目方应重视合约安全审计，以防范潜在风险，保障用户资产安全。