NFT合約安全分析報告：常見問題與典型案例

2022年上半年，NFT領域出現了多起重大安全事件，總損失約6490萬美元。這些事件主要由合約漏洞利用、私鑰泄露和釣魚攻擊等方式造成。值得注意的是，Discord平台上的釣魚攻擊幾乎每天都在發生，給個人用戶造成了頻繁損失。

典型安全事件分析

TreasureDAO事件

3月3日，TreasureDAO交易平台遭到攻擊，導致100多個NFT被盜。這起事件的根本原因是ERC-1155和ERC-721代幣混用引發的邏輯混亂。合約未對代幣類型進行區分，錯誤地將不適用於ERC-721的數量概念用於價格計算。

APE Coin空投事件

3月17日，一名黑客利用閃電貸獲取了超過6萬枚APE Coin空投。漏洞存在於空投合約中，合約僅檢查用戶對NFT的瞬時所有權，而這可以通過閃電貸輕易操縱。

Revest Finance事件

3月27日，Revest Finance遭受攻擊，損失約12萬美元。這是一起典型的ERC-1155重入攻擊案例。合約在鑄造新的FNFT時未充分檢查，導致了重入漏洞的產生。

NBA薅羊毛事件

4月21日，NBA項目遭遇攻擊。問題出在白名單驗證的籤名機制上，存在籤名冒用和復用兩個主要問題。合約未儲存已使用的籤名，也未對籤名者進行嚴格驗證。

Akutar事件

4月23日，Akutar項目因合約漏洞導致3400萬美元資產被鎖死。主要問題包括退款函數的邏輯缺陷和未考慮用戶多次投標的情況。

XCarnival事件

6月24日，XCarnival遭攻擊，損失約380萬美元。攻擊者利用了合約在質押NFT和借貸過程中的邏輯漏洞，重復使用無效抵押記錄進行借貸。

NFT合約常見安全問題

1. 籤名冒用和復用：缺乏重復執行驗證和籤名者有效性檢查。

2. 邏輯漏洞：如管理員繞過總量限制鑄幣，競拍過程中的交易順序依賴攻擊等。

3. ERC721/ERC1155重入攻擊：在使用轉帳通知功能時可能出現。

4. 過大授權範圍：用戶在某些操作中被要求進行過度授權。

5. 價格操控：NFT價格依賴外部因素，可能被閃電貸等方式操縱。

這些問題在實際攻擊中頻繁出現，突顯了專業安全審計的重要性。項目方應重視合約安全，尋求專業團隊進行全面審計，以防範潛在風險。