NFT合约安全:2022上半年事件回顾与审计要点

2022年上半年,NFT领域安全事件频发,造成巨额损失。据数据平台监测,这半年内共发生10起重大NFT安全事件,总损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。其中,Discord服务器频繁遭受攻击,用户因点击钓鱼链接损失惨重。

典型安全事件分析

TreasureDAO事件

3月3日,TreasureDAO交易平台遭黑客攻击,100多个NFT被盗。原因是合约存在逻辑漏洞,ERC-1155和ERC-721代币混用导致计价错误,使攻击者可以零成本购买NFT。这凸显了不同代币标准混用时的风险。

APE Coin空投事件

3月17日,黑客利用闪电贷获取超6万枚APE Coin空投。漏洞在于空投合约仅检查调用者的即时NFT持有状态,未考虑闪电贷可操纵该状态。这提醒我们要谨慎设计空投机制。

Revest Finance事件

3月27日,Revest Finance遭攻击损失12万美元。原因是ERC-1155合约中存在重入漏洞,攻击者可重复执行铸造操作。这再次证明了ERC-1155标准的安全风险。

NBA项目事件

4月21日,NBA项目遭遇攻击。合约在白名单验证时存在签名冒用和复用问题,未对使用过的签名进行记录和校验。这暴露了签名验证机制的脆弱性。

Akutar事件

4月23日,Akutar项目因合约漏洞导致1.15万ETH(约3400万美元)被锁。主要原因是退款函数逻辑错误,未考虑用户多次投标情况。这凸显了全面测试的重要性。

XCarnival事件

6月24日,XCarnival遭攻击损失3087 ETH(约380万美元)。漏洞在于质押和借贷逻辑有误,未验证xToken地址及抵押记录状态。这表明NFT借贷平台面临独特的安全挑战。

NFT合约审计常见问题

1. 签名冒用和复用:缺少nonce验证、签名检查不严格等。

2. 逻辑漏洞:铸币总量控制失效、竞拍漏洞等。

3. ERC721/ERC1155重入攻击:转账通知功能可能导致重入。

4. 授权范围过大:不必要的全局授权增加风险。

5. 价格操控:依赖外部合约状态易被闪电贷攻击。

这些问题在实际攻击中屡见不鲜,凸显了专业安全审计的必要性。NFT项目方应重视合约安全,全面评估潜在风险,以防范于未然。