NFT合約安全：2022上半年事件回顧與常見問題分析

2022年上半年，NFT領域安全事件頻發，造成巨大經濟損失。據數據平台監測，共發生10起主要安全事件，損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord釣魚事件幾乎每天都在發生，導致個人用戶頻繁遭受損失。

典型安全事件回顧

TreasureDAO事件

3月3日，TreasureDAO交易平台遭黑客攻擊，100多個NFT被盜。漏洞源於TreasureMarketplaceBuyer合約中的邏輯錯誤，未對代幣類型進行判斷就計算價格，導致可以以零成本購買NFT。這一事件暴露了ERC-1155和ERC-721代幣混用所帶來的邏輯隱患。

APE Coin空投事件

3月17日，黑客通過閃電貸獲取超6萬APE Coin空投。AirdropGrapesToken空投合約的漏洞在於僅通過即時餘額判斷NFT所有權，使得攻擊者可借入NFT瞬間獲取空投。

Revest Finance事件

3月27日，Revest Finance遭攻擊，損失12萬美元。漏洞存在於ERC-1155重入攻擊，合約在鑄造新FNFT時未充分檢查，導致重入漏洞。

NBA薅羊毛事件

4月21日，NBA項目遭攻擊。The_Association_Sales合約在白名單驗證時存在籤名冒用和復用問題，未對已使用籤名進行記錄和校驗。

Akutar事件

4月23日，Akutar項目AkuAuction合約漏洞導致1.15萬ETH（約3400萬美元）被鎖。主要問題包括退款函數可被惡意中斷，以及未考慮用戶多次投標情況導致退款永久失敗。

XCarnival事件

6月24日，XCarnival遭攻擊，損失3087 ETH（約380萬美元）。XNFT合約在質押NFT時未對xToken地址進行白名單校驗，且借貸時未檢查抵押記錄狀態，使攻擊者可重復使用無效抵押記錄進行借貸。

NFT合約審計常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證，如用戶nonce
   • 籤名檢查不合理，如未檢查零地址情況

2. 邏輯漏洞：

   • 管理員鑄幣可能繞過總量限制
   • 拍賣過程中存在交易順序依賴攻擊風險

3. ERC721/ERC1155重入攻擊：

   • 轉帳通知功能可能導致重入攻擊

4. 授權範圍過大：

   • 要求過度授權，增加NFT被盜風險

5. 價格操控：

   • NFT價格依賴外部合約，可能被閃電貸操縱

鑑於這些常見問題及實際發生的安全事件，對NFT合約進行專業的安全審計顯得尤爲重要。項目方應重視合約安全，採取全面的防護措施，以降低潛在風險。