NFT 合約安全問題分析及審計要點

2022年上半年，NFT 領域發生了多起重大安全事件，造成約 6490 萬美元的損失。這些事件主要涉及合約漏洞利用、私鑰泄露和釣魚攻擊等方式。值得注意的是，Discord 平台上的釣魚事件幾乎每天都在發生，導致大量個人用戶遭受損失。

典型安全事件分析

TreasureDAO 事件

3月3日，TreasureDAO 交易平台遭遇攻擊，100多個 NFT 被盜。漏洞源於 TreasureMarketplaceBuyer 合約中的邏輯錯誤，允許攻擊者在不支付的情況下購買 NFT。這個問題主要是由於 ERC-1155 和 ERC-721 代幣的混用導致的邏輯混亂。

APE Coin 空投事件

3月17日，攻擊者利用閃電貸獲取了超過 6 萬枚 APE Coin 空投。漏洞存在於空投合約中，合約僅檢查了用戶對 NFT 的瞬時所有權，而這可以通過閃電貸操縱。

Revest Finance 事件

3月27日，Revest Finance 遭受攻擊，損失約 12 萬美元。這是一起典型的 ERC-1155 重入攻擊，源於合約在鑄造新 FNFT 時的邏輯缺陷。

NBA 項目攻擊

4月21日，NBA 項目遭遇攻擊。問題出在白名單驗證的籤名校驗機制上，存在籤名冒用和復用的漏洞。

Akutar 事件

4月23日，Akutar 項目的智能合約漏洞導致約 3400 萬美元資產被鎖死。這是由於合約中的退款函數存在邏輯缺陷，未考慮到用戶可能投標多個 NFT 的情況。

XCarnival 事件

6月24日，XCarnival 遭受攻擊，損失約 380 萬美元。漏洞在於 XNFT 合約中的質押和借貸功能缺乏必要的安全檢查。

NFT 合約審計常見問題

1. 籤名冒用和復用：

   • 缺少重復執行驗證
   • 籤名檢查不合理

2. 邏輯漏洞：

   • 鑄幣總量控制不當
   • 拍賣過程中的交易順序依賴攻擊

3. ERC721 & ERC1155 重入攻擊：

   • 轉帳通知功能可能導致重入

4. 授權範圍過大：

   • 不必要的全局授權可能導致 NFT 被盜

5. 價格操控：

   • NFT 價格依賴外部因素，容易被操縱

這些安全問題的存在凸顯了對 NFT 合約進行全面專業審計的重要性。項目方應當重視合約安全，通過專業的安全審計來規避潛在風險，保護用戶資產安全。