NFT合约安全审计中的常见问题分析

2022年上半年，NFT领域发生了多起安全事件，造成约6490万美元的损失。主要攻击方式包括合约漏洞利用、私钥泄露和钓鱼等。这些事件凸显了NFT合约安全审计的重要性。

典型安全事件回顾

1. TreasureDAO事件：由于ERC-1155和ERC-721代币混用导致的逻辑漏洞，攻击者得以在支付0代币的情况下购买NFT。

2. APE Coin空投事件：空投合约使用了可被闪电贷操控的瞬时状态来判断NFT所有权，导致攻击者能够借入NFT并获取空投。

3. Revest Finance事件：ERC-1155重入漏洞使攻击者能够重复铸造FNFT，造成约12万美元损失。

4. NBA项目薅羊毛事件：合约中的签名验证存在冒用和复用问题，允许攻击者重复使用或冒用签名。

5. Akutar事件：合约逻辑漏洞导致约3400万美元资产被锁死，主要原因是未考虑用户可投标多个NFT的情况。

6. XCarnival事件：合约中的逻辑漏洞允许攻击者反复使用无效抵押记录进行借贷，造成约380万美元损失。

NFT合约审计中的常见问题

1. 签名冒用和复用

   • 缺少重复执行验证，如用户nonce
   • 签名检查不合理，如未检查签名者为零地址的情况

2. 逻辑漏洞

   • 管理员可绕过总量限制进行铸币
   • 拍卖过程中存在交易顺序依赖攻击风险

3. ERC721/ERC1155重入攻击

   • 使用转账通知功能时可能导致重入攻击

4. 授权范围过大

   • 要求全局授权而非单个代币授权，增加NFT被盗风险

5. 价格操控

   • NFT价格依赖可被操控的外部因素，如代币持有量

这些问题在实际攻击中频繁出现，突显了专业安全审计的必要性。项目方应重视合约安全，寻求专业机构进行全面审计，以降低安全风险。