NFT合約安全：2022年上半年事件分析與審計問題探討

2022年上半年，NFT領域安全事件頻發，造成巨大損失。據數據平台監測，上半年共發生10起主要NFT安全事件，累計損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord平台上的釣魚攻擊幾乎每日都有發生，導致大量個人用戶遭受損失。

典型安全事件回顧

TreasureDAO事件

3月3日，TreasureDAO交易平台遭到攻擊，100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中的邏輯錯誤，未對代幣類型進行判斷就計算價格，導致可以用極少量代幣購買NFT。這一事件暴露了ERC-1155和ERC-721代幣混用可能引發的問題。

APE Coin空投事件

3月17日，黑客利用閃電貸獲取了超過6萬枚APE Coin空投。問題出在AirdropGrapesToken合約僅通過即時狀態判斷NFT所有權，被攻擊者利用閃電貸操縱。

Revest Finance事件

3月27日，Revest Finance遭受攻擊，損失12萬美元。漏洞在於ERC-1155重入攻擊，合約在鑄造新NFT時未充分檢查，導致可重復執行鑄造操作。

NBA薅羊毛事件

4月21日，NBA項目遭遇攻擊。問題在於籤名驗證機制存在漏洞，包括籤名可被復用和冒用。

Akutar事件

4月23日，由於合約邏輯錯誤，11539 ETH（約3400萬美元）被鎖在Akutar的AkuAuction合約中。主要問題是退款函數設計不當，無法處理多次投標情況。

XCarnival事件

6月24日，XCarnival遭攻擊，損失3087 ETH（約380萬美元）。漏洞在於XNFT合約未嚴格檢查質押NFT的有效性，允許重復使用無效質押記錄借貸。

NFT合約常見審計問題

1. 籤名安全：

   • 缺少重復執行驗證，如用戶nonce
   • 籤名檢查不嚴格，如未驗證籤名者是否爲零地址

2. 邏輯漏洞：

   • 特殊鑄幣方式可能繞過總量限制
   • 拍賣過程中存在交易順序依賴攻擊風險

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能被利用進行重入攻擊

4. 授權範圍過大：

   • 要求全局授權而非單個代幣授權，增加NFT被盜風險

5. 價格操控：

   • NFT價格依賴外部合約狀態，可能被閃電貸操縱

這些問題在實際攻擊中頻繁出現，凸顯了專業安全審計的重要性。項目方應重視合約安全，尋求專業審計服務，以降低安全風險。