NFT合約安全：2022上半年事件回顧與常見問題分析

2022年上半年，NFT領域安全事件頻發，造成了巨大的經濟損失。據數據平台監測，共發生10起主要安全事件，損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。Discord平台上的釣魚攻擊尤其猖獗，幾乎每天都有服務器遭受攻擊，導致用戶損失頻繁發生。

典型安全事件回顧

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭攻擊，導致100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中的邏輯錯誤，未對ERC-1155和ERC-721代幣進行區分處理，導致攻擊者可以零成本購買NFT。

APE Coin空投事件

2022年3月17日，攻擊者利用閃電貸獲取了超過6萬個APE Coin空投。問題出在AirdropGrapesToken合約中，其僅檢查用戶對NFT的瞬時所有權，而未考慮閃電貸可能帶來的影響。

Revest Finance事件

2022年3月27日，Revest Finance遭受攻擊，損失約12萬美元。漏洞存在於Revest合約中，由於ERC-1155標準中的隱藏外部調用，導致了重入攻擊的可能。

NBA薅羊毛事件

2022年4月21日，NBA項目遭遇攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題，未對已使用的籤名進行記錄，也未進行msg.sender校驗。

Akutar事件

2022年4月23日，Akutar項目的AkuAuction合約因邏輯漏洞導致11539ETH（約3400萬美元）被鎖死。退款函數中的條件判斷未考慮用戶可能投標多個NFT的情況，使得退款操作無法執行。

XCarnival事件

2022年6月24日，XCarnival遭攻擊，損失約380萬美元。XNFT合約中的pledgeAndBorrow函數未對質押NFT的xToken地址和抵押記錄狀態進行有效檢查，使得攻擊者可以重復利用無效抵押記錄進行借貸。

NFT合約審計常見問題

1. 籤名冒用和復用：

   • 缺少籤名重復使用驗證
   • 籤名檢查邏輯不完善

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 要求全局授權而非單個代幣授權

5. 價格操控：

   • NFT價格依賴外部因素，易受閃電貸等方式影響

這些問題在實際攻擊中頻繁出現，凸顯了對NFT合約進行專業安全審計的重要性。項目方應重視合約安全，通過專業審計來降低安全風險。