NFT合约安全：2022上半年事件分析及常见问题探讨

2022年上半年，NFT领域安全事件频发,造成巨额损失。本文将对这一时期的NFT合约安全态势进行深入分析,探讨典型案例及常见问题。

上半年NFT安全事件概况

据区块链安全监控数据显示,2022年上半年共发生10起重大NFT安全事件,累计损失约6490万美元。主要攻击方式包括合约漏洞利用、私钥泄露和钓鱼等。值得注意的是,Discord平台钓鱼攻击尤为猖獗,几乎每天都有用户因此遭受损失。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客攻击,100多个NFT被盗。

漏洞原因:合约逻辑混乱。TreasureMarketplaceBuyer合约的buyItem函数未对代币类型进行判断,导致可以在ERC-20代币支付额为0的情况下购买NFT。这是由于ERC-1155和ERC-721代币混用,未对无数量概念的ERC-721做特殊处理所致。

APE Coin空投事件

2022年3月17日,黑客通过闪电贷获取超6万枚APE Coin空投。

漏洞原因:合约逻辑缺陷。空投合约仅通过balanceOf()判断用户对NFT的所有权,而这只能获取瞬时状态,可被闪电贷操纵。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻击,损失12万美元。

漏洞原因:ERC-1155重入攻击。Revest合约在追加FNFT抵押资产时存在重入漏洞,源于铸造函数中的外部调用。

NBA薅羊毛事件

2022年4月21日,NBA项目遭黑客攻击。

漏洞原因:签名验证缺陷。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题。

Akutar事件

2022年4月23日,Akutar项目AkuAuction合约漏洞导致1.1万ETH被锁。

漏洞原因:退款逻辑缺陷。退款函数存在可被恶意阻断的风险,且未考虑用户多次投标情况,导致退款无法执行。

XCarnival事件

2022年6月24日,XCarnival遭攻击损失380万美元。

漏洞原因:抵押记录校验不严。XNFT合约在质押和借贷时未做充分检查,导致可重复利用无效抵押记录。

NFT合约常见安全问题

1. 签名验证问题:缺少重复执行验证,签名检查不严格。

2. 逻辑漏洞:铸币限制不当,竞拍流程存在漏洞。

3. ERC721/ERC1155重入攻击:转账通知功能可能导致重入。

4. 过度授权:要求全局授权但实际仅需单个代币授权。

5. 价格操纵:价格依赖可被闪电贷操纵的因素。

综上所述,NFT合约安全问题复杂多样,专业审计显得尤为重要。项目方应重视合约安全,全面评估潜在风险,确保用户资产安全。