NFT合约安全分析报告：常见问题与典型案例

2022年上半年，NFT领域出现了多起重大安全事件，总损失约6490万美元。这些事件主要由合约漏洞利用、私钥泄露和钓鱼攻击等方式造成。值得注意的是，Discord平台上的钓鱼攻击几乎每天都在发生，给个人用户造成了频繁损失。

典型安全事件分析

TreasureDAO事件

3月3日，TreasureDAO交易平台遭到攻击，导致100多个NFT被盗。这起事件的根本原因是ERC-1155和ERC-721代币混用引发的逻辑混乱。合约未对代币类型进行区分，错误地将不适用于ERC-721的数量概念用于价格计算。

APE Coin空投事件

3月17日，一名黑客利用闪电贷获取了超过6万枚APE Coin空投。漏洞存在于空投合约中，合约仅检查用户对NFT的瞬时所有权，而这可以通过闪电贷轻易操纵。

Revest Finance事件

3月27日，Revest Finance遭受攻击，损失约12万美元。这是一起典型的ERC-1155重入攻击案例。合约在铸造新的FNFT时未充分检查，导致了重入漏洞的产生。

NBA薅羊毛事件

4月21日，NBA项目遭遇攻击。问题出在白名单验证的签名机制上，存在签名冒用和复用两个主要问题。合约未储存已使用的签名，也未对签名者进行严格验证。

Akutar事件

4月23日，Akutar项目因合约漏洞导致3400万美元资产被锁死。主要问题包括退款函数的逻辑缺陷和未考虑用户多次投标的情况。

XCarnival事件

6月24日，XCarnival遭攻击，损失约380万美元。攻击者利用了合约在质押NFT和借贷过程中的逻辑漏洞，重复使用无效抵押记录进行借贷。

NFT合约常见安全问题

1. 签名冒用和复用：缺乏重复执行验证和签名者有效性检查。

2. 逻辑漏洞：如管理员绕过总量限制铸币，竞拍过程中的交易顺序依赖攻击等。

3. ERC721/ERC1155重入攻击：在使用转账通知功能时可能出现。

4. 过大授权范围：用户在某些操作中被要求进行过度授权。

5. 价格操控：NFT价格依赖外部因素，可能被闪电贷等方式操纵。

这些问题在实际攻击中频繁出现，突显了专业安全审计的重要性。项目方应重视合约安全，寻求专业团队进行全面审计，以防范潜在风险。