NFT合约安全：2022上半年事件回顾与常见问题分析

2022年上半年，NFT领域安全事件频发，造成巨大经济损失。据数据平台监测，共发生10起主要安全事件，损失约6490万美元。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。值得注意的是，Discord钓鱼事件几乎每天都在发生，导致个人用户频繁遭受损失。

典型安全事件回顾

TreasureDAO事件

3月3日，TreasureDAO交易平台遭黑客攻击，100多个NFT被盗。漏洞源于TreasureMarketplaceBuyer合约中的逻辑错误，未对代币类型进行判断就计算价格，导致可以以零成本购买NFT。这一事件暴露了ERC-1155和ERC-721代币混用所带来的逻辑隐患。

APE Coin空投事件

3月17日，黑客通过闪电贷获取超6万APE Coin空投。AirdropGrapesToken空投合约的漏洞在于仅通过即时余额判断NFT所有权，使得攻击者可借入NFT瞬间获取空投。

Revest Finance事件

3月27日，Revest Finance遭攻击，损失12万美元。漏洞存在于ERC-1155重入攻击，合约在铸造新FNFT时未充分检查，导致重入漏洞。

NBA薅羊毛事件

4月21日，NBA项目遭攻击。The_Association_Sales合约在白名单验证时存在签名冒用和复用问题，未对已使用签名进行记录和校验。

Akutar事件

4月23日，Akutar项目AkuAuction合约漏洞导致1.15万ETH（约3400万美元）被锁。主要问题包括退款函数可被恶意中断，以及未考虑用户多次投标情况导致退款永久失败。

XCarnival事件

6月24日，XCarnival遭攻击，损失3087 ETH（约380万美元）。XNFT合约在质押NFT时未对xToken地址进行白名单校验，且借贷时未检查抵押记录状态，使攻击者可重复使用无效抵押记录进行借贷。

NFT合约审计常见问题

1. 签名冒用和复用：

   • 缺少重复执行验证，如用户nonce
   • 签名检查不合理，如未检查零地址情况

2. 逻辑漏洞：

   • 管理员铸币可能绕过总量限制
   • 拍卖过程中存在交易顺序依赖攻击风险

3. ERC721/ERC1155重入攻击：

   • 转账通知功能可能导致重入攻击

4. 授权范围过大：

   • 要求过度授权，增加NFT被盗风险

5. 价格操控：

   • NFT价格依赖外部合约，可能被闪电贷操纵

鉴于这些常见问题及实际发生的安全事件，对NFT合约进行专业的安全审计显得尤为重要。项目方应重视合约安全，采取全面的防护措施，以降低潜在风险。