BTC/HKD+0.17%
HK$ 476308
$ 60701.7

ETH/HKD+0.1%
HK$ 18380
$ 2342.37

LTC/HKD+0.22%
HK$ 493.4
$ 62.88

DOT/HKD+0.83%
HK$ 32.11
$ 4.092

ADA/HKD-0.33%
HK$ 2.65
$ 0.338

SOL/HKD+0.14%
HK$ 1065.6
$ 135.803

XRP/HKD+0.5%
HK$ 4.12
$ 0.525

DOGE/US-0.23%
HK$ 0.82
$ 0.104

加密貨幣交易所最好的加密貨幣交易所

幣安

世界排名第一的加密貨幣交易所

URL：https://www.binance.com

火幣

成立於2013年的加密貨幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的加密貨幣交易所

URL：https://www.okx.com

黑客不會“隱入塵煙” 你的NFT合約安全如何保證？_NFT:BOG

Author：

Time：1900/1/1 0:00:00

點擊閱讀：2022年上半年Web3安全態勢深度研報

在我們發布的《2022年上半年Web3安全態勢深度研報》中，我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢。今天，我們將針對NFT合約安全展開分析，看看在NFT合約在審計過程中都會出現哪些常見問題呢？

上半年NFT領域安全事件的總損失有多少？

據成都鏈安鷹眼區塊鏈安全態勢感知平臺監控顯示，2022年上半年，共監測到NFT領域主要安全事件10起，統計到的損失約為6490萬美元，主要攻擊方式為合約漏洞利用、私鑰泄露、釣魚等。而上半年Discord釣魚事件頻發，幾乎每天都有Discord服務器受到攻擊，個人用戶因點擊釣魚鏈接而遭受損失的情況頻繁發生。

DeFi協議Bogged Finance發布BOG重啟時間表，此前遭黑客攻擊:官方消息，DeFi協議Bogged Finance發布BOG重啟時間表，5月31日05:00之前，必須提交所有空投爭議；6月1日05:00預啟動質押和開始申領；6月2日05:00正式啟動，開啟BOG交易。

此前消息，DeFi協議Bogged Finance官方表示，黑客對BOG代幣合約的質押漏洞進行了閃電貸攻擊，目前已禁用交易費。[2021/5/30 22:57:12]

上半年NFT典型安全事件？

TreasureDAO事件

2022年3月3日，TreasureDAO交易平臺遭到黑客攻擊，造成100多個NFT被盜。

擴展閱讀：怪事？盜了又歸還？TreasureDAO安全事件分析

漏洞原因：邏輯漏洞

該漏洞存在于TreasureMarketplaceBuyer合約中，該合約的buyItem函數在傳入_quantity參數后，并沒有做代幣類型判斷，直接將_quantity與_pricePerItem相乘計算出了totalPrice，因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下，調用TreasureMarketplace合約的buyItem函數來進行代幣購買。

EOS挖礦項目珊瑚的wRAM遭黑客\"重入\"攻擊，損失超12萬EOS:據PeckShield態勢感知平臺數據顯示，09月10日凌晨01:43分起，EOS生態DeFi流動性挖礦項目 “珊瑚”的wRAM遭到黑客攻擊，損失逾12萬EOS。截至目前已經有4.6萬個EOS被轉移至ChangeNOW實施洗錢。PeckShield安全人員進一步分析發現，ph***bj 攻擊者賬號采用了類似”重入攻擊“的模式，對eoswramtoken合約實施了攻擊。具體而言，攻擊者在正常的轉賬操作內嵌入了一次inline transfer，使得wRAM合約在mint時判斷RAM數額出現問題導致多發。PeckShield在此提醒用戶，EOS生態內挖礦項目，合約層往往存在Active權限受控制，非多簽賬戶可操縱賬號資金等問題，且存在多種被攻擊的可能，用戶在參與DeFi流動性挖礦項目前務必確保所項目合約的安全性。[2020/9/10]

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂，ERC-721代幣并沒有數量的概念，但是合約卻使用了數量來計算代幣購買價格，且最后在代幣轉賬的實現中也未進行邏輯分離。

V神：區塊鏈是一種自衛技術，可減少黑客攻擊和DoS攻擊:5月3日，V神發推文稱，有一個很有道理的例子是，提高自衛技術從長遠來看，是強烈支持自由的；其消除了更集中化的替代方案的弱點，這些替代方案通常涉及做更多的調查，并試圖找出世界上所有的壞人。區塊鏈絕對是自衛技術的一個例子；從集中式記錄保存轉移到區塊鏈，減少了黑客攻擊和DoS攻擊。甚至將會議注冊轉移到智能合同就是一個例子：沒有更多的服務器，也沒有更多的非原子性風險。[2020/5/3]

APECoin空投事件

2022年3月17日，黑客通過閃電貸拿到了超過6萬的APECoin空投。

漏洞原因：邏輯漏洞

該漏洞存在于AirdropGrapesToken空投合約中，由于其使用alpha.balanceOf()和beta.balanceOf()判定調用者對BAYC/MAYCNFT的所有權。而這種方式僅能獲取到用戶對該NFT所有權的瞬時狀態，但該瞬時狀態可以通過閃電貸借入進行操控。攻擊者利用該漏洞，以閃電貸借出BAYCNFT并獲取對應的空投。

動態 | 幣安被盜BTC被黑客分散至20個主要地址尚未擴散:據PeckShield數字資產護航系統數據顯示，截止目前，幣安熱錢包被盜損失的7,074枚BTC暫時被黑客分散存儲于20個主要地址，尚未進一步擴散。PeckShield正持續追蹤資金進一步流向。PeckShield安全人員分析發現，黑客通過釣魚等方式搜集幣安用戶賬號信息，然后于北京時間05月08日 01:17:18采用71個賬號并發API提幣操作，最終于塊高度575013實施了攻擊（和幣安公告的塊高度575012相差一個塊）。[2019/5/8]

RevestFinance事件

2022年3月27日，RevestFinance項目遭遇黑客攻擊，損失余額12萬美元。

擴展閱讀：老調重彈，ERC1155的重入攻擊又“現身”，RevestFinance被攻擊事件簡析

漏洞原因：ERC-1155重入

該漏洞存在于Revest合約中，當用戶采用depositAdditionalToFNFT()追加FNFT的抵押資產時，合約需要將先把之前的FNFT銷毀，之后再鑄造新的FNFT。但是在鑄造時，由于min()函數中未判斷需鑄造的FNFT是否已經存在，并且狀態變量fnftId自增在_mint()函數后。而_min()中存在ERC-1155中的隱藏外部調用_doSafeTransferAcceptanceCheck()，造成了重入漏洞。

比特幣狂熱引全球黑客垂涎韓國交易所再遭攻擊破產:目前比特幣市場前景正在蓬勃發展，希望從中牟利的犯罪行為也日漸增加。近期，比特幣價格的大規模增長也推動了對加密數字貨幣的大肆宣傳。幾天前名韓國Youbit交易所遭到黑客攻擊提交一份破產申請，現在全球虛擬貨幣的安全問題出現紅燈。[2017/12/25]

NBA薅羊毛事件

2022年4月21日，NBA項目方遭遇黑客攻擊。

漏洞原因：簽名冒用和復用

該漏洞存在于The_Association_Sales合約中，項目當在采用簽名校驗的方式驗證白名單時，主要存在兩個安全問題：簽名冒用和簽名復用。其中簽名復用問題是由于項目方并未在合約中存儲已經使用過的簽名，造成簽名可以被攻擊者重復多次使用；簽名冒用的問題是由于vDatamemory參數info在傳參時未進行msg.sender校驗導致簽名可冒用。

Akutar事件

2022年4月23日，NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。

擴展閱讀：NFT項目驚現低級漏洞，合約未審計導致3400萬美元資產被鎖死——Akutar事件分析

漏洞原因：邏輯漏洞

該合約存在兩個邏輯漏洞，第一是退款函數processRefunds使用call函數進行退款操作，并且把退款結果作為require判定條件，如果攻擊者在fallback中進行惡意revert會導致整個合約的退款操作無法繼續進行。第二個漏洞是造成此次事件的根本原因，即退款函數中存在的兩個判斷條件，由于沒有考慮到一個用戶可以投標多個NFT的情況，使得項目方后續的退款操作永遠無法執行。

XCarnival事件

2022年6月24日，NFT借貸協議XCarnival遭到攻擊，黑客獲利3087枚以太坊。

擴展閱讀：NFT借貸平臺需警惕，XCarnival被攻擊事件給我們哪些啟示？

漏洞原因：邏輯漏洞

該漏洞存在于XNFT合約中，該合約中的pledgeAndBorrow函數在質押NFT時并未未檢查攻擊者傳入的xToken地址是否為項目方白名單中的地址；并且在借貸時，并未對抵押記錄的狀態進行檢測，導致攻擊者反復使用無效的抵押記錄進行借貸。