NFT合约安全：2022上半年事件回顾与审计要点

2022年上半年，NFT领域安全事件频发，造成巨大经济损失。据某区块链安全平台监测，上半年共发生10起主要NFT安全事件，总损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。值得注意的是，Discord钓鱼事件几乎每天都在发生，许多用户因点击钓鱼链接而遭受损失。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭黑客攻击，导致100多个NFT被盗。漏洞存在于TreasureMarketplaceBuyer合约的buyItem函数中，由于缺乏代币类型判断，导致可在ERC-20代币支付数额为0的情况下购买代币。这一问题源于ERC-1155和ERC-721代币混用引发的逻辑混乱。

APE Coin空投事件

2022年3月17日，黑客通过闪电贷获取了超过6万枚APE Coin空投。漏洞出现在AirdropGrapesToken空投合约中，合约仅检查用户对NFT的瞬时所有权状态，未考虑闪电贷可能带来的影响。

Revest Finance事件

2022年3月27日，Revest Finance遭受攻击，损失约12万美元。漏洞涉及ERC-1155重入攻击，出现在Revest合约的depositAdditionalToFNFT()函数中。

NBA薅羊毛事件

2022年4月21日，NBA项目方遭遇攻击。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题，未对已使用签名进行存储和msg.sender校验。

Akutar事件

2022年4月23日，Akutar项目的AkuAuction合约因逻辑漏洞导致11539ETH（约3400万美元）被锁死。主要问题包括退款函数设计不当和未考虑用户多次投标情况。

XCarnival事件

2022年6月24日，NFT借贷协议XCarnival遭攻击，损失约380万美元。XNFT合约的pledgeAndBorrow函数存在逻辑漏洞，未对xToken地址和抵押记录状态进行有效检查。

NFT合约审计常见问题

1. 签名冒用和复用：

   • 缺少重复执行验证
   • 签名检查不合理

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能导致重入

4. 授权范围过大：

   • 不必要的全局授权风险

5. 价格操控：

   • NFT价格依赖易被操纵的因素

鉴于NFT合约安全事件频发，项目方应重视合约安全审计工作，以防范潜在风险，保护用户资产安全。