NFT合約審計常見問題及典型安全事件分析

2022年上半年，NFT領域安全事件頻發，造成巨大經濟損失。據數據平台監測，該時期共發生10起重大NFT安全事件，損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord服務器頻繁遭受攻擊，用戶因點擊釣魚連結而損失的情況屢見不鮮。

典型NFT安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭黑客攻擊，導致100多個NFT被盜。漏洞存在於TreasureMarketplaceBuyer合約的buyItem函數中，由於缺乏代幣類型判斷，允許攻擊者在ERC-20代幣支付數額爲0的情況下購買代幣。這一事件凸顯了ERC-1155和ERC-721代幣混用導致的邏輯混亂問題。

APE Coin空投事件

2022年3月17日，黑客利用閃電貸獲取超過6萬枚APE Coin空投。漏洞源於AirdropGrapesToken空投合約使用alpha.balanceOf()和beta.balanceOf()判定用戶對BAYC/MAYC NFT的所有權，而這種方法只能獲取瞬時狀態，容易被閃電貸操縱。

Revest Finance事件

2022年3月27日，Revest Finance遭受攻擊，損失12萬美元。漏洞出現在Revest合約的depositAdditionalToFNFT()函數中，由於ERC-1155重入問題，攻擊者能夠多次執行鑄造操作。

NBA薅羊毛事件

2022年4月21日，NBA項目遭遇黑客攻擊。The_Association_Sales合約在驗證白名單時存在籤名冒用和復用問題，主要是由於未存儲已使用的籤名和缺乏msg.sender校驗。

Akutar事件

2022年4月23日，Akutar項目的AkuAuction合約漏洞導致11539ETH（約3400萬美元）被鎖死。主要問題包括退款函數的邏輯缺陷和未考慮用戶多次投標的情況。

XCarnival事件

2022年6月24日，NFT借貸協議XCarnival遭攻擊，損失約380萬美元。XNFT合約的pledgeAndBorrow函數存在邏輯漏洞，未對xToken地址和抵押記錄狀態進行有效檢查。

NFT合約審計常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證，允許重復使用籤名數據鑄造NFT
   • 籤名檢查不嚴格，可能導致任意用戶通過檢查進行鑄幣

2. 邏輯漏洞：

   • 合約管理員可能繞過總量限制進行鑄幣
   • 拍賣過程中存在交易順序依賴攻擊風險

3. ERC721/ERC1155重入攻擊：

   • 使用轉帳通知功能時可能導致重入攻擊

4. 授權範圍過大：

   • 要求過度授權可能導致NFT被盜風險

5. 價格操控：

   • NFT價格依賴外部合約代幣持有量，可能被閃電貸攻擊影響

這些問題在實際安全事件中頻繁出現，突顯了對NFT合約進行專業安全審計的重要性。項目方應重視合約安全，及時發現並修復潛在漏洞，以防止類似事件再次發生。