NFT合约安全问题分析及典型案例解读

2022年上半年，NFT领域发生了多起安全事件，造成约6490万美元的损失。这些事件主要涉及合约漏洞利用、私钥泄露和钓鱼攻击等手段。值得注意的是，Discord平台上的钓鱼事件频发，几乎每天都有服务器遭受攻击，导致个人用户损失频繁发生。

典型安全事件分析

TreasureDAO事件

2022年3月3日，TreasureDAO交易平台遭到黑客攻击，导致100多个NFT被盗。这起事件的根本原因是合约存在逻辑漏洞，ERC-1155和ERC-721代币混用导致逻辑混乱。ERC-721代币没有数量概念，但合约却使用数量计算代币购买价格，且在代币转账实现中未进行逻辑分离。

APE Coin空投事件

2022年3月17日，黑客利用闪电贷获取了超过6万枚APE Coin空投。漏洞出现在空投合约中，合约使用瞬时状态判断用户对NFT的所有权，而这种状态可通过闪电贷操控。

Revest Finance事件

2022年3月27日，Revest Finance项目遭受攻击，损失约12万美元。这是一起典型的ERC-1155重入攻击，合约在铸造新FNFT时未判断是否已存在，且状态变量自增在铸造函数后执行，导致重入漏洞。

NBA薅羊毛事件

2022年4月21日，NBA项目遭到攻击。漏洞涉及签名冒用和复用问题，合约未存储已使用的签名，且在传参时未进行发送者校验。

Akutar事件

2022年4月23日，Akutar项目因智能合约漏洞导致1.1539万ETH（约3400万美元）被锁死。合约存在两个关键逻辑漏洞：退款函数可能被恶意阻止，以及未考虑用户多次投标情况。

XCarnival事件

2022年6月24日，XCarnival遭攻击，黑客获利3087枚以太坊（约380万美元）。漏洞在于合约未检查质押NFT的xToken地址是否在白名单中，且借贷时未对抵押记录状态进行检测。

NFT合约常见安全问题

1. 签名冒用和复用：

   • 缺少重复执行验证
   • 签名检查不合理

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能导致重入

4. 授权范围过大：

   • 不必要的全局授权可能导致NFT被盗

5. 价格操控：

   • NFT价格依赖可被操纵的因素

鉴于这些安全风险，对NFT合约进行专业的安全审计至关重要，可以有效防范潜在的攻击和漏洞。