NFT合约安全：2022上半年事件回顾与常见问题分析

2022年上半年，NFT领域安全事件频发，造成了巨大的经济损失。据数据平台监测，共发生10起主要安全事件，损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。Discord平台上的钓鱼攻击尤其猖獗，几乎每天都有服务器遭受攻击，导致用户损失频繁发生。

典型安全事件回顾

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭攻击，导致100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约中的逻辑错误，未对ERC-1155和ERC-721代币进行区分处理，导致攻击者可以零成本购买NFT。

APE Coin空投事件

2022年3月17日，攻击者利用闪电贷获取了超过6万个APE Coin空投。问题出在AirdropGrapesToken合约中，其仅检查用户对NFT的瞬时所有权，而未考虑闪电贷可能带来的影响。

Revest Finance事件

2022年3月27日，Revest Finance遭受攻击，损失约12万美元。漏洞存在于Revest合约中，由于ERC-1155标准中的隐藏外部调用，导致了重入攻击的可能。

NBA薅羊毛事件

2022年4月21日，NBA项目遭遇攻击。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题，未对已使用的签名进行记录，也未进行msg.sender校验。

Akutar事件

2022年4月23日，Akutar项目的AkuAuction合约因逻辑漏洞导致11539ETH（约3400万美元）被锁死。退款函数中的条件判断未考虑用户可能投标多个NFT的情况，使得退款操作无法执行。

XCarnival事件

2022年6月24日，XCarnival遭攻击，损失约380万美元。XNFT合约中的pledgeAndBorrow函数未对质押NFT的xToken地址和抵押记录状态进行有效检查，使得攻击者可以重复利用无效抵押记录进行借贷。

NFT合约审计常见问题

1. 签名冒用和复用：

   • 缺少签名重复使用验证
   • 签名检查逻辑不完善

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能导致重入

4. 授权范围过大：

   • 要求全局授权而非单个代币授权

5. 价格操控：

   • NFT价格依赖外部因素，易受闪电贷等方式影响

这些问题在实际攻击中频繁出现，凸显了对NFT合约进行专业安全审计的重要性。项目方应重视合约安全，通过专业审计来降低安全风险。