NFT合約安全審計中的常見問題分析

2022年上半年，NFT領域發生了多起安全事件，造成約6490萬美元的損失。主要攻擊方式包括合約漏洞利用、私鑰泄露和釣魚等。這些事件凸顯了NFT合約安全審計的重要性。

典型安全事件回顧

1. TreasureDAO事件：由於ERC-1155和ERC-721代幣混用導致的邏輯漏洞，攻擊者得以在支付0代幣的情況下購買NFT。

2. APE Coin空投事件：空投合約使用了可被閃電貸操控的瞬時狀態來判斷NFT所有權，導致攻擊者能夠借入NFT並獲取空投。

3. Revest Finance事件：ERC-1155重入漏洞使攻擊者能夠重復鑄造FNFT，造成約12萬美元損失。

4. NBA項目薅羊毛事件：合約中的籤名驗證存在冒用和復用問題，允許攻擊者重復使用或冒用籤名。

5. Akutar事件：合約邏輯漏洞導致約3400萬美元資產被鎖死，主要原因是未考慮用戶可投標多個NFT的情況。

6. XCarnival事件：合約中的邏輯漏洞允許攻擊者反復使用無效抵押記錄進行借貸，造成約380萬美元損失。

NFT合約審計中的常見問題

1. 籤名冒用和復用

   • 缺少重復執行驗證，如用戶nonce
   • 籤名檢查不合理，如未檢查籤名者爲零地址的情況

2. 邏輯漏洞

   • 管理員可繞過總量限制進行鑄幣
   • 拍賣過程中存在交易順序依賴攻擊風險

3. ERC721/ERC1155重入攻擊

   • 使用轉帳通知功能時可能導致重入攻擊

4. 授權範圍過大

   • 要求全局授權而非單個代幣授權，增加NFT被盜風險

5. 價格操控

   • NFT價格依賴可被操控的外部因素，如代幣持有量

這些問題在實際攻擊中頻繁出現，突顯了專業安全審計的必要性。項目方應重視合約安全，尋求專業機構進行全面審計，以降低安全風險。