NFT 合约安全问题分析及审计要点

2022年上半年，NFT 领域发生了多起重大安全事件，造成约 6490 万美元的损失。这些事件主要涉及合约漏洞利用、私钥泄露和钓鱼攻击等方式。值得注意的是，Discord 平台上的钓鱼事件几乎每天都在发生，导致大量个人用户遭受损失。

典型安全事件分析

TreasureDAO 事件

3月3日，TreasureDAO 交易平台遭遇攻击，100多个 NFT 被盗。漏洞源于 TreasureMarketplaceBuyer 合约中的逻辑错误，允许攻击者在不支付的情况下购买 NFT。这个问题主要是由于 ERC-1155 和 ERC-721 代币的混用导致的逻辑混乱。

APE Coin 空投事件

3月17日，攻击者利用闪电贷获取了超过 6 万枚 APE Coin 空投。漏洞存在于空投合约中，合约仅检查了用户对 NFT 的瞬时所有权，而这可以通过闪电贷操纵。

Revest Finance 事件

3月27日，Revest Finance 遭受攻击，损失约 12 万美元。这是一起典型的 ERC-1155 重入攻击，源于合约在铸造新 FNFT 时的逻辑缺陷。

NBA 项目攻击

4月21日，NBA 项目遭遇攻击。问题出在白名单验证的签名校验机制上，存在签名冒用和复用的漏洞。

Akutar 事件

4月23日，Akutar 项目的智能合约漏洞导致约 3400 万美元资产被锁死。这是由于合约中的退款函数存在逻辑缺陷，未考虑到用户可能投标多个 NFT 的情况。

XCarnival 事件

6月24日，XCarnival 遭受攻击，损失约 380 万美元。漏洞在于 XNFT 合约中的质押和借贷功能缺乏必要的安全检查。

NFT 合约审计常见问题

1. 签名冒用和复用：

   • 缺少重复执行验证
   • 签名检查不合理

2. 逻辑漏洞：

   • 铸币总量控制不当
   • 拍卖过程中的交易顺序依赖攻击

3. ERC721 & ERC1155 重入攻击：

   • 转账通知功能可能导致重入

4. 授权范围过大：

   • 不必要的全局授权可能导致 NFT 被盗

5. 价格操控：

   • NFT 价格依赖外部因素，容易被操纵

这些安全问题的存在凸显了对 NFT 合约进行全面专业审计的重要性。项目方应当重视合约安全，通过专业的安全审计来规避潜在风险，保护用户资产安全。