您的位置 首页 Defi-NFT

从APE空投漏洞谈起,NFT安全情况究竟如何?

NFT是“Non Fungible Token”的简称,即非同质化通证。一个NFT可以被理解为是存储在区块链上的一个独一无二的单元数据。每当谈及NFT,我们会很自然地将其与常见的ERC-20代币进行类比,但NFT与ERC-20代币及其它类同质数字资产(如比特币、以太坊)的操作相比有着明显的区别。

近年来,以NFT为核心发展出了一个全新的生态,在2021年发展迅猛,逐步形成具备较完备基础设施,拥有收藏、游戏、社交、运动等特色业务,且具有交易、借贷、质押等金融属性的新兴领域。

但是在生态快速发展的同时,生态中的安全问题却频繁显现。在2022年第一季度已陆续发生:

l 1月28日,The Sandbox 合约的Burn漏洞;

l 2月17日,针对 OpenSea 的钓鱼攻击;

l 2月18日,X2Y2 可升级漏洞;

l 3月3日,TreasureDAO 零元购漏洞;

l 3月17日,APE空投漏洞;

当业界审视这些安全问题时往往将其与ERC-20通证生态中的安全问题进行类比,但是NFT领域中出现的安全问题却有自己的特点和差异。然而这些特点和差异却还没有系统地受到业界的关注和研究。

SharkTeam以此次APE空投漏洞为例,将为您总结目前NFT领域常见的几类安全问题,一方面希望投资者在参与NFT项目时可以进一步提高风险防范意识、提高风险甄别能力;另一方面也希望与NFT项目方从安全角度深度合作,一起提高NFT相关业务的安全性和可持续性。闲话不多说,我们先一起来看一下APE空投漏洞是如何产生的。

一、 APE空投漏洞

3月17日晚,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin。

tx:

https://etherscan.io/tx/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098

(1)套利者首先在OpenSea(https://opensea.io/ )上用106 ETH购买了编号1060的BYAC NFT,并且转移给套利合约(0x7797)

(2) 套利合约在NFTX(https://nftx.io/ )上抵押编号为1060编号的BYAC NFT,并利用NFTX提供的FlashLoan和Redeem这两个核心函数功能借出编号为7594、8214、9915、8167、4755这5个BYAC NFT.

l Flashloan提供的功能是:拿着自己 BAYC NFT 铸造并借贷 BAYC 代币。

l Redeem提供的功能是:你拿着 BAYC 代币赎回市场中的 BAYC NFT。

(3)套利者在获得这些BYAC NFT,立刻在空投合约中领取了60564个APE Coin空投奖励。并换成了14.152 ETH。

(4)当然,Redeem的资金来源是闪电贷,必须在一个交易里归还 BYAC代币,否则交易不生效。

总结:本次套利的核心逻辑是,在NFTX中抵押自己的 BYAC NFT并闪电贷出 BAYC 代币,再使用BYAC 代币 redeem出其他 BYAC NFT, 最后使用这些 BYAC NFT 领取空投并获利。

安全建议:因为此次领取空投的判断逻辑是领取时是否持有,而不是真实拥有,所以套利者才能在一笔交易中完成闪电贷和撸空投。建议可以采用链下快照空投的方式,将抵挡这类撸空投行为,将奖励真正分发给有资格领取的用户。

二、近期其他NFT安全事件

(1)The Sandbox 合约的Burn漏洞

2022年1月28日The Sandbox 官方发布一则 LAND 智能合约迁移的公告,迁移原因则是合约中存在一个安全漏洞,导致任何用户都可以去随意 burn 掉其他用户的 NFT。

(2)针对 OpenSea 的钓鱼攻击

被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。

(3)X2Y2 可升级漏洞

X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。

X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复。

(4)TreasureDAO 零元购漏洞

进行ERC-721标准的NFT转移前,缺少了对于传入的_quantity参数不为 0 的判断,导致了ERC-721 标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成 0。

(5)不断发生的项目欺诈和项目跑路事件

NFT行业的发展也伴随着不断发生的项目欺诈和项目跑路事件,在此不再一一列举。通常这些项目有一些共同特点,例如:虚假的关注人数、虚假的团队实力、平庸的路线规划、较高的Mint价格。

热门文章

发表评论

您的电子邮箱地址不会被公开。