BTC/HKD-0.21%
HK$ 494434
$ 63011.7

ETH/HKD+4.09%
HK$ 19926
$ 2539.38

LTC/HKD+0.49%
HK$ 514.98
$ 65.63

DOT/HKD+0.36%
HK$ 33.69
$ 4.293

ADA/HKD+1.01%
HK$ 2.79
$ 0.356

SOL/HKD+4.07%
HK$ 1167.1
$ 148.741

XRP/HKD-0.77%
HK$ 4.57
$ 0.582

DOGE/US+0.3%
HK$ 0.82
$ 0.105

以太幣交易所最好的以太幣交易所

幣安

世界排名第一的以太幣交易所

URL：https://www.binance.com

火幣

成立於2013年的以太幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的以太幣交易所

URL：https://www.okx.com

黑客不會“隱入塵煙” 你的NFT合約安全如何保證？_NFT

Author：

Time：1900/1/1 0:00:00

點擊閱讀：2022年上半年Web3安全態勢深度研報

在我們發布的《2022年上半年Web3安全態勢深度研報》中，我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢。今天，我們將針對NFT合約安全展開分析，看看在NFT合約在審計過程中都會出現哪些常見問題呢？

上半年NFT領域安全事件的總損失有多少？

據成都鏈安鷹眼區塊鏈安全態勢感知平臺監控顯示，2022年上半年，共監測到NFT領域主要安全事件10起，統計到的損失約為6490萬美元，主要攻擊方式為合約漏洞利用、私鑰泄露、釣魚等。而上半年Discord釣魚事件頻發，幾乎每天都有Discord服務器受到攻擊，個人用戶因點擊釣魚鏈接而遭受損失的情況頻繁發生。

PeckShield：NFT借貸平臺JPEG'd或遭黑客攻擊:7月30日消息，據PeckShield發推稱，NFT借貸平臺JPEG'd或遭黑客攻擊，損失金額達6106枚ETH，JPEG代幣短時下跌40%。[2023/7/30 16:07:20]

上半年NFT典型安全事件？

TreasureDAO事件

2022年3月3日，TreasureDAO交易平臺遭到黑客攻擊，造成100多個NFT被盜。

擴展閱讀：怪事？盜了又歸還？TreasureDAO安全事件分析

漏洞原因：邏輯漏洞

該漏洞存在于TreasureMarketplaceBuyer合約中，該合約的buyItem函數在傳入_quantity參數后，并沒有做代幣類型判斷，直接將_quantity與_pricePerItem相乘計算出了totalPrice，因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下，調用TreasureMarketplace合約的buyItem函數來進行代幣購買。

研究：2022年Q1共發生78起黑客攻擊事件，損失約13億美元:4月27日消息，根據Atlas VPN團隊的新研究，區塊鏈黑客在2022年第一季度的78起攻擊事件中竊取了約13億美元。此外，針對以太坊和Solana生態系統的黑客攻擊僅在本季度就造成了超過10億美元的損失。這些數據來自Slowmist Hacked，該網站收集了公開承認的對區塊鏈項目的攻擊信息。

具體而言，在2022年第一季度，以太坊生態系統被黑客攻擊了18次，導致近6.36億美元的損失。本季度最嚴重的攻擊發生在3月底，當時Axie Infinity側鏈Ronin Network被黑客攻擊，損失高達6.1億美元。同期，Solana生態系統被黑客攻擊了五次，造成3.97億美元的損失。（Bitcoinist）[2022/4/27 5:14:41]

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂，ERC-721代幣并沒有數量的概念，但是合約卻使用了數量來計算代幣購買價格，且最后在代幣轉賬的實現中也未進行邏輯分離。

DAO Maker為受黑客事件影響的用戶分兩個階段提供全額補償:8月18日消息，DAOMaker為最近受黑客事件影響的用戶推出補償計劃。所有受黑客攻擊影響的用戶都將得到全額補償，補償計劃將分2個階段進行。第一階段為下次SHO之前的8月19日，所有受到影響用戶的錢包中將會收到500美元空投，這筆錢能夠用來參與SHO或提現。第二階段，DAOMaker會在8月19日的一年后以DAO代幣的形式補償給用戶，并且會有10%的附加收益。2021年9月8日，DAOMaker會空投USDR代幣，代表1年后的贖回權，每個USDR代幣相當于1.1個DAO的價值。2022年9月8日，所有的USDR代幣將會部署在一個智能合約里，以供用戶換取DAO代幣，所有的USDR將在那時被銷毀。個DAO的價值。2022年9月8日，所有的USDR代幣將會部署在一個智能合約里，以供用戶換取DAO代幣，所有的USDR將在那時被銷毀。[2021/8/18 22:21:43]

APECoin空投事件

韓國金融服務委員會稱其對朝鮮黑客竊取加密貨幣不負責:韓國金融服務委員會(FSC)在回復國民議會事務委員會的書面質詢時表示，他們對由朝鮮政權支持的黑客在加密交易所平臺上發起的攻擊中竊取的加密貨幣不負責。根據這份報告，該監管機構辯稱，加密交易所不屬于他們的管轄范圍，但沒有提供有關此事的更多細節。他們把責任轉交給韓國外交部和韓國通信委員會(KCC)。但是，外交部和韓國通信委員會都認為，FSC仍然要對加密公司遭受的任何損失負責，因為這些都與金融有關。這兩個機構指出，FSC的職務是“負責管理和監督虛擬資產提供商”。(Fn News)[2020/10/24]

2022年3月17日，黑客通過閃電貸拿到了超過6萬的APECoin空投。

漏洞原因：邏輯漏洞

該漏洞存在于AirdropGrapesToken空投合約中，由于其使用alpha.balanceOf()和beta.balanceOf()判定調用者對BAYC/MAYCNFT的所有權。而這種方式僅能獲取到用戶對該NFT所有權的瞬時狀態，但該瞬時狀態可以通過閃電貸借入進行操控。攻擊者利用該漏洞，以閃電貸借出BAYCNFT并獲取對應的空投。

動態 | 盜取Upbit的黑客錢包將1萬余枚ETH轉移至未知錢包:據Whale Alert監測顯示，北京時間22:42，被標記為Upbit黑客錢包地址（0xb3a9b79開頭）轉移11001枚ETH至0xdf279a9d開頭的未知錢包地址。按照當前價格計算，價值約161萬美元。[2019/12/6]

RevestFinance事件

2022年3月27日，RevestFinance項目遭遇黑客攻擊，損失余額12萬美元。

擴展閱讀：老調重彈，ERC1155的重入攻擊又“現身”，RevestFinance被攻擊事件簡析

漏洞原因：ERC-1155重入

該漏洞存在于Revest合約中，當用戶采用depositAdditionalToFNFT()追加FNFT的抵押資產時，合約需要將先把之前的FNFT銷毀，之后再鑄造新的FNFT。但是在鑄造時，由于min()函數中未判斷需鑄造的FNFT是否已經存在，并且狀態變量fnftId自增在_mint()函數后。而_min()中存在ERC-1155中的隱藏外部調用_doSafeTransferAcceptanceCheck()，造成了重入漏洞。

NBA薅羊毛事件

2022年4月21日，NBA項目方遭遇黑客攻擊。

漏洞原因：簽名冒用和復用

該漏洞存在于The_Association_Sales合約中，項目當在采用簽名校驗的方式驗證白名單時，主要存在兩個安全問題：簽名冒用和簽名復用。其中簽名復用問題是由于項目方并未在合約中存儲已經使用過的簽名，造成簽名可以被攻擊者重復多次使用；簽名冒用的問題是由于vDatamemory參數info在傳參時未進行msg.sender校驗導致簽名可冒用。

Akutar事件

2022年4月23日，NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。

擴展閱讀：NFT項目驚現低級漏洞，合約未審計導致3400萬美元資產被鎖死——Akutar事件分析

漏洞原因：邏輯漏洞

該合約存在兩個邏輯漏洞，第一是退款函數processRefunds使用call函數進行退款操作，并且把退款結果作為require判定條件，如果攻擊者在fallback中進行惡意revert會導致整個合約的退款操作無法繼續進行。第二個漏洞是造成此次事件的根本原因，即退款函數中存在的兩個判斷條件，由于沒有考慮到一個用戶可以投標多個NFT的情況，使得項目方后續的退款操作永遠無法執行。

XCarnival事件

2022年6月24日，NFT借貸協議XCarnival遭到攻擊，黑客獲利3087枚以太坊。

擴展閱讀：NFT借貸平臺需警惕，XCarnival被攻擊事件給我們哪些啟示？

漏洞原因：邏輯漏洞

該漏洞存在于XNFT合約中，該合約中的pledgeAndBorrow函數在質押NFT時并未未檢查攻擊者傳入的xToken地址是否為項目方白名單中的地址；并且在借貸時，并未對抵押記錄的狀態進行檢測，導致攻擊者反復使用無效的抵押記錄進行借貸。