NFT合約安全：2022上半年事件回顧與審計要點

2022年上半年，NFT領域安全事件頻發，造成巨大經濟損失。據某區塊鏈安全平台監測，上半年共發生10起主要NFT安全事件，總損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord釣魚事件幾乎每天都在發生，許多用戶因點擊釣魚連結而遭受損失。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭黑客攻擊，導致100多個NFT被盜。漏洞存在於TreasureMarketplaceBuyer合約的buyItem函數中，由於缺乏代幣類型判斷，導致可在ERC-20代幣支付數額爲0的情況下購買代幣。這一問題源於ERC-1155和ERC-721代幣混用引發的邏輯混亂。

APE Coin空投事件

2022年3月17日，黑客通過閃電貸獲取了超過6萬枚APE Coin空投。漏洞出現在AirdropGrapesToken空投合約中，合約僅檢查用戶對NFT的瞬時所有權狀態，未考慮閃電貸可能帶來的影響。

Revest Finance事件

2022年3月27日，Revest Finance遭受攻擊，損失約12萬美元。漏洞涉及ERC-1155重入攻擊，出現在Revest合約的depositAdditionalToFNFT()函數中。

NBA薅羊毛事件

2022年4月21日，NBA項目方遭遇攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題，未對已使用籤名進行存儲和msg.sender校驗。

Akutar事件

2022年4月23日，Akutar項目的AkuAuction合約因邏輯漏洞導致11539ETH（約3400萬美元）被鎖死。主要問題包括退款函數設計不當和未考慮用戶多次投標情況。

XCarnival事件

2022年6月24日，NFT借貸協議XCarnival遭攻擊，損失約380萬美元。XNFT合約的pledgeAndBorrow函數存在邏輯漏洞，未對xToken地址和抵押記錄狀態進行有效檢查。

NFT合約審計常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查不合理

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 不必要的全局授權風險

5. 價格操控：

   • NFT價格依賴易被操縱的因素

鑑於NFT合約安全事件頻發，項目方應重視合約安全審計工作，以防範潛在風險，保護用戶資產安全。