NFT合約安全性分析:典型事件與常見問題

2022年上半年,NFT領域安全事件頻發,造成重大經濟損失。據數據平台監測,該期間共發生10起主要安全事件,損失總額約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。同時,Discord服務器遭受頻繁攻擊,導致個人用戶因點擊釣魚連結而蒙受損失的情況屢見不鮮。

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭黑客入侵,致使100多個NFT被盜。事件根源在於TreasureMarketplaceBuyer合約的邏輯漏洞。合約在buyItem函數中未對代幣類型進行判斷,直接用_quantity與_pricePerItem相乘計算totalPrice,導致攻擊者可在ERC-20代幣支付額爲0的情況下購買代幣。這一問題源於ERC-1155和ERC-721代幣混用引發的邏輯混亂,ERC-721代幣本無數量概念,但合約卻用數量計算價格,且轉帳實現中未進行邏輯分離。

APE Coin空投事件

2022年3月17日,黑客通過閃電貸獲取超6萬APE Coin空投。AirdropGrapesToken空投合約存在邏輯漏洞,僅用alpha.balanceOf()和beta.balanceOf()判斷調用者對BAYC/MAYC NFT的所有權。這種方式只能獲取用戶對NFT所有權的瞬時狀態,而該狀態可被閃電貸操控。攻擊者借此漏洞,通過閃電貸借入BAYC NFT並獲得相應空投。

Revest Finance事件

2022年3月27日,Revest Finance遭黑客攻擊,損失約12萬美元。Revest合約中存在ERC-1155重入漏洞。當用戶使用depositAdditionalToFNFT()追加FNFT抵押資產時,合約需先銷毀原FNFT,再鑄造新FNFT。然而,min()函數未檢查待鑄造FNFT是否已存在,且fnftId自增在_mint()後執行。_min()中的_doSafeTransferAcceptanceCheck()外部調用導致重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA項目遭黑客攻擊。The_Association_Sales合約在使用籤名驗證白名單時存在籤名冒用和復用兩大問題。籤名復用是由於合約未存儲已使用籤名,導致攻擊者可重復使用;籤名冒用則因vData memory參數info傳參時未校驗msg.sender。

Akutar事件

2022年4月23日,Akutar項目的AkuAuction合約因智能合約漏洞,導致11539ETH(約3400萬美元)被鎖死。合約存在兩個邏輯漏洞:一是退款函數processRefunds使用call函數退款,並將結果作爲require判定條件,攻擊者可在fallback中惡意revert阻止退款;二是退款函數中的判斷條件未考慮用戶可投標多個NFT的情況,使後續退款操作無法執行。

XCarnival事件

2022年6月24日,NFT借貸協議XCarnival遭攻擊,黑客獲利3087枚以太坊(約380萬美元)。XNFT合約的pledgeAndBorrow函數在質押NFT時未檢查xToken地址是否在白名單中,且借貸時未檢測抵押記錄狀態,使攻擊者可反復使用無效抵押記錄借貸。

NFT合約審計常見問題

1. 籤名冒用和復用:

   • 籤名數據缺少重復執行驗證,可重復使用籤名數據鑄造NFT
   • 籤名檢查不合理,任意用戶可通過檢查進行鑄幣

2. 邏輯漏洞:

   • 管理員可通過特殊方式鑄幣而不受總量限制,導致NFT實際量超預期
   • 拍賣NFT時,獲勝者可通過交易順序依賴攻擊修改競拍價格,低價獲取NFT

3. ERC721/ERC1155重入攻擊:

   • 使用轉帳通知功能時,NFT合約向目標合約發送調用可能導致重入攻擊

4. 授權範圍過大:

   • 質押或拍賣時要求_operatorApprovals授權,可能導致NFT被盜風險

5. 價格操控:

   • NFT價格依賴某合約代幣持有量,攻擊者可利用閃電貸拉高價格,導致質押NFT異常清算

鑑於NFT合約安全事件頻發,且審計中常見漏洞在實際中屢被利用,尋求專業安全公司對NFT合約進行全面審計十分必要。