NFT合约安全审计:常见问题与典型案例分析

2022年上半年,NFT领域安全事件频发,造成巨大经济损失。据统计,主要安全事件共10起,造成约6490万美元损失。攻击方式主要包括合约漏洞利用、私钥泄露和钓鱼等。其中,Discord平台上的钓鱼攻击尤为猖獗,几乎每天都有服务器遭受攻击,导致用户资产损失。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭到攻击,100多个NFT被盗。漏洞存在于TreasureMarketplaceBuyer合约的buyItem函数中,未对代币类型进行判断就计算总价,导致可以在支付0代币的情况下购买NFT。这是由于ERC-1155和ERC-721代币混用引起的逻辑混乱。

APE Coin空投事件

2022年3月17日,黑客利用闪电贷获取了超过6万枚APE Coin空投。AirdropGrapesToken空投合约使用balanceOf()判断BAYC/MAYC NFT所有权,但这只能获取瞬时状态,被闪电贷操纵。

Revest Finance事件

2022年3月27日,Revest Finance遭攻击,损失12万美元。这是一起典型的ERC-1155重入攻击,源于合约在铸造新FNFT时未判断是否已存在,且状态变量自增在_mint()函数之后。

NBA薅羊毛事件

2022年4月21日,NBA项目遭攻击。The_Association_Sales合约在验证白名单时存在签名冒用和复用问题,未存储已使用的签名且缺少msg.sender校验。

Akutar事件

2022年4月23日,Akutar项目AkuAuction合约漏洞导致11539 ETH(约3400万美元)被锁死。主要问题包括退款函数逻辑缺陷和未考虑用户多次投标情况。

XCarnival事件

2022年6月24日,XCarnival遭攻击,损失3087 ETH(约380万美元)。XNFT合约的pledgeAndBorrow函数未检查xToken地址白名单和抵押记录状态,导致攻击者可重复利用无效抵押记录借贷。

NFT合约审计常见问题

1. 签名冒用和复用:

   • 缺少重复执行验证,如用户nonce
   • 签名检查不合理,如未检查零地址签名

2. 逻辑漏洞:

   • 管理员绕过总量限制铸币
   • 拍卖中存在交易顺序依赖攻击风险

3. ERC721/ERC1155重入攻击:

   • 转账通知功能可能导致重入

4. 授权范围过大:

   • 要求全局授权而非单个代币授权

5. 价格操控:

   • NFT价格依赖外部合约代币持有量,易被闪电贷操纵

鉴于NFT合约安全事件频发,项目方应重视合约安全审计,聘请专业安全公司进行全面检查,以降低安全风险。