NFT合約安全:2022上半年事件回顧與審計要點

2022年上半年,NFT領域安全事件頻發,造成巨額損失。據數據平台監測,這半年內共發生10起重大NFT安全事件,總損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。其中,Discord服務器頻繁遭受攻擊,用戶因點擊釣魚連結損失慘重。

典型安全事件分析

TreasureDAO事件

3月3日,TreasureDAO交易平台遭黑客攻擊,100多個NFT被盜。原因是合約存在邏輯漏洞,ERC-1155和ERC-721代幣混用導致計價錯誤,使攻擊者可以零成本購買NFT。這凸顯了不同代幣標準混用時的風險。

APE Coin空投事件

3月17日,黑客利用閃電貸獲取超6萬枚APE Coin空投。漏洞在於空投合約僅檢查調用者的即時NFT持有狀態,未考慮閃電貸可操縱該狀態。這提醒我們要謹慎設計空投機制。

Revest Finance事件

3月27日,Revest Finance遭攻擊損失12萬美元。原因是ERC-1155合約中存在重入漏洞,攻擊者可重復執行鑄造操作。這再次證明了ERC-1155標準的安全風險。

NBA項目事件

4月21日,NBA項目遭遇攻擊。合約在白名單驗證時存在籤名冒用和復用問題,未對使用過的籤名進行記錄和校驗。這暴露了籤名驗證機制的脆弱性。

Akutar事件

4月23日,Akutar項目因合約漏洞導致1.15萬ETH(約3400萬美元)被鎖。主要原因是退款函數邏輯錯誤,未考慮用戶多次投標情況。這凸顯了全面測試的重要性。

XCarnival事件

6月24日,XCarnival遭攻擊損失3087 ETH(約380萬美元)。漏洞在於質押和借貸邏輯有誤,未驗證xToken地址及抵押記錄狀態。這表明NFT借貸平台面臨獨特的安全挑戰。

NFT合約審計常見問題

1. 籤名冒用和復用:缺少nonce驗證、籤名檢查不嚴格等。

2. 邏輯漏洞:鑄幣總量控制失效、競拍漏洞等。

3. ERC721/ERC1155重入攻擊:轉帳通知功能可能導致重入。

4. 授權範圍過大:不必要的全局授權增加風險。

5. 價格操控:依賴外部合約狀態易被閃電貸攻擊。

這些問題在實際攻擊中屢見不鮮,凸顯了專業安全審計的必要性。NFT項目方應重視合約安全,全面評估潛在風險,以防範於未然。