NFT合約安全問題分析及典型案例解讀

2022年上半年，NFT領域發生了多起安全事件，造成約6490萬美元的損失。這些事件主要涉及合約漏洞利用、私鑰泄露和釣魚攻擊等手段。值得注意的是，Discord平台上的釣魚事件頻發，幾乎每天都有服務器遭受攻擊，導致個人用戶損失頻繁發生。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭到黑客攻擊，導致100多個NFT被盜。這起事件的根本原因是合約存在邏輯漏洞，ERC-1155和ERC-721代幣混用導致邏輯混亂。ERC-721代幣沒有數量概念，但合約卻使用數量計算代幣購買價格，且在代幣轉帳實現中未進行邏輯分離。

APE Coin空投事件

2022年3月17日，黑客利用閃電貸獲取了超過6萬枚APE Coin空投。漏洞出現在空投合約中，合約使用瞬時狀態判斷用戶對NFT的所有權，而這種狀態可通過閃電貸操控。

Revest Finance事件

2022年3月27日，Revest Finance項目遭受攻擊，損失約12萬美元。這是一起典型的ERC-1155重入攻擊，合約在鑄造新FNFT時未判斷是否已存在，且狀態變量自增在鑄造函數後執行，導致重入漏洞。

NBA薅羊毛事件

2022年4月21日，NBA項目遭到攻擊。漏洞涉及籤名冒用和復用問題，合約未存儲已使用的籤名，且在傳參時未進行發送者校驗。

Akutar事件

2022年4月23日，Akutar項目因智能合約漏洞導致1.1539萬ETH（約3400萬美元）被鎖死。合約存在兩個關鍵邏輯漏洞：退款函數可能被惡意阻止，以及未考慮用戶多次投標情況。

XCarnival事件

2022年6月24日，XCarnival遭攻擊，黑客獲利3087枚以太坊（約380萬美元）。漏洞在於合約未檢查質押NFT的xToken地址是否在白名單中，且借貸時未對抵押記錄狀態進行檢測。

NFT合約常見安全問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查不合理

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 不必要的全局授權可能導致NFT被盜

5. 價格操控：

   • NFT價格依賴可被操縱的因素

鑑於這些安全風險，對NFT合約進行專業的安全審計至關重要，可以有效防範潛在的攻擊和漏洞。