NFT合約安全分析：上半年主要事件與常見問題

2022年上半年，NFT領域出現了多起安全事件，造成巨額損失。據數據統計，這期間共發生10起主要NFT安全事件，總損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是，Discord平台上的釣魚事件頻發，幾乎每天都有服務器遭受攻擊，導致個人用戶頻繁損失。

典型安全事件分析

TreasureDAO事件

3月3日，TreasureDAO交易平台遭遇攻擊，100多個NFT被盜。原因是合約存在邏輯漏洞，ERC-1155和ERC-721代幣混用導致邏輯混亂。合約未對代幣類型進行判斷，允許在ERC-20代幣支付數額爲0的情況下購買代幣。

APE Coin空投事件

3月17日，黑客利用閃電貸獲取超過6萬枚APE Coin空投。漏洞在於空投合約僅通過即時狀態判斷NFT所有權，而這種狀態可被閃電貸操控。

Revest Finance事件

3月27日，Revest Finance遭攻擊，損失12萬美元。原因是ERC-1155重入漏洞，合約在鑄造新FNFT時未檢查是否已存在，且狀態變量自增在鑄造函數之後，導致重入攻擊。

NBA薅羊毛事件

4月21日，NBA項目遭攻擊。問題出在白名單驗證的籤名校驗方式上，存在籤名冒用和復用兩個安全隱患。

Akutar事件

4月23日，Akutar項目合約漏洞導致3400萬美元資產被鎖死。主要原因是退款函數邏輯錯誤，未考慮用戶可投標多個NFT的情況。

XCarnival事件

6月24日，XCarnival被攻擊，損失約380萬美元。漏洞在於合約未檢查質押NFT的xToken地址有效性，且未對抵押記錄狀態進行檢測。

NFT合約常見問題

1. 籤名冒用和復用：缺少重復執行驗證，籤名檢查不合理。

2. 邏輯漏洞：管理員可繞過總量限制鑄幣，拍賣中存在交易順序依賴攻擊風險。

3. ERC721/ERC1155重入攻擊：使用轉帳通知功能時可能導致重入。

4. 授權範圍過大：要求全局授權而非單個代幣授權，增加NFT被盜風險。

5. 價格操控：NFT價格依賴外部合約代幣持有量，易受閃電貸影響。

鑑於這些常見問題，對NFT合約進行專業的安全審計顯得尤爲重要。項目方應重視合約安全，以防止潛在的巨額損失。