NFT合約安全分析：2022上半年事件回顧與常見問題探討

2022年上半年，NFT領域安全形勢嚴峻。數據顯示，共發生10起主要安全事件，造成約6490萬美元損失。攻擊手段主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord平台上的釣魚攻擊幾乎每天都在發生，導致個人用戶頻繁遭受損失。

典型安全事件分析

TreasureDAO事件

3月3日，TreasureDAO交易平台遭到攻擊，100多個NFT被盜。原因是ERC-1155和ERC-721代幣混用導致的邏輯漏洞。合約在處理代幣購買時未區分代幣類型，使得攻擊者可以利用ERC-20代幣以零成本購買NFT。

APE Coin空投事件

3月17日，黑客通過閃電貸獲取了超過6萬枚APE Coin空投。漏洞源於空投合約使用瞬時狀態判斷NFT所有權，而這可被閃電貸操縱。

Revest Finance事件

3月27日，Revest Finance遭受攻擊，損失12萬美元。這是一起典型的ERC-1155重入攻擊，由於合約在鑄造新FNFT時未正確處理狀態更新順序。

NBA薅羊毛事件

4月21日，NBA項目遭遇攻擊。問題出在白名單驗證的籤名機制上，存在籤名冒用和復用兩個主要漏洞。

Akutar事件

4月23日，Akutar項目因合約漏洞導致11539 ETH（約3400萬美元）被鎖定。主要問題包括退款函數的設計缺陷和未考慮用戶多次投標的情況。

XCarnival事件

6月24日，XCarnival遭攻擊，損失3087 ETH（約380萬美元）。漏洞在於質押NFT時未驗證xToken地址的合法性，且借貸時未檢查抵押記錄狀態。

NFT合約常見安全問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查邏輯不嚴謹

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 不必要的全局授權增加NFT被盜風險

5. 價格操控：

   • NFT價格依賴外部因素，易受閃電貸等手段影響

鑑於NFT合約的復雜性和潛在風險，尋求專業安全公司進行全面審計至關重要，以防範可能的安全隱患。