NFT是“Non Fungible Token”的简称,即非同质化通证。一个NFT可以被理解为是存储在区块链上的一个独一无二的单元数据。每当谈及NFT,我们会很自然地将其与常见的ERC-20代币进行类比,但NFT与ERC-20代币及其它类同质数字资产(如比特币、以太坊)的操作相比有着明显的区别。
近年来,以NFT为核心发展出了一个全新的生态,在2021年发展迅猛,逐步形成具备较完备基础设施,拥有收藏、游戏、社交、运动等特色业务,且具有交易、借贷、质押等金融属性的新兴领域。
但是在生态快速发展的同时,生态中的安全问题却频繁显现。在2022年第一季度已陆续发生:
当业界审视这些安全问题时往往将其与ERC-20通证生态中的安全问题进行类比,但是NFT领域中出现的安全问题却有自己的特点和差异。然而这些特点和差异却还没有系统地受到业界的关注和研究。
SharkTeam以此次APE空投漏洞为例,将为您总结目前NFT领域常见的几类安全问题,一方面希望投资者在参与NFT项目时可以进一步提高风险防范意识、提高风险甄别能力;另一方面也希望与NFT项目方从安全角度深度合作,一起提高NFT相关业务的安全性和可持续性。闲话不多说,我们先一起来看一下APE空投漏洞是如何产生的。
3月17日晚,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin。
tx:
https://etherscan.io/tx/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098
(1)套利者首先在OpenSea(https://opensea.io/ )上用106 ETH购买了编号1060的BYAC NFT,并且转移给套利合约(0x7797)
(2) 套利合约在NFTX(https://nftx.io/ )上抵押编号为1060编号的BYAC NFT,并利用NFTX提供的FlashLoan和Redeem这两个核心函数功能借出编号为7594、8214、9915、8167、4755这5个BYAC NFT.
(3)套利者在获得这些BYAC NFT,立刻在空投合约中领取了60564个APE Coin空投奖励。并换成了14.152 ETH。
(4)当然,Redeem的资金来源是闪电贷,必须在一个交易里归还 BYAC代币,否则交易不生效。
总结:本次套利的核心逻辑是,在NFTX中抵押自己的 BYAC NFT并闪电贷出 BAYC 代币,再使用BYAC 代币 redeem出其他 BYAC NFT, 最后使用这些 BYAC NFT 领取空投并获利。
安全建议:因为此次领取空投的判断逻辑是领取时是否持有,而不是真实拥有,所以套利者才能在一笔交易中完成闪电贷和撸空投。建议可以采用链下快照空投的方式,将抵挡这类撸空投行为,将奖励真正分发给有资格领取的用户。
(1)The Sandbox 合约的Burn漏洞
2022年1月28日The Sandbox 官方发布一则 LAND 智能合约迁移的公告,迁移原因则是合约中存在一个安全漏洞,导致任何用户都可以去随意 burn 掉其他用户的 NFT。
(2)针对 OpenSea 的钓鱼攻击
被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。
(3)X2Y2 可升级漏洞
X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。
X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复。
(4)TreasureDAO 零元购漏洞
在进行ERC-721标准的NFT转移前,缺少了对于传入的_quantity参数不为 0 的判断,导致了ERC-721 标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成 0。
(5)不断发生的项目欺诈和项目跑路事件
NFT行业的发展也伴随着不断发生的项目欺诈和项目跑路事件,在此不再一一列举。通常这些项目有一些共同特点,例如:虚假的关注人数、虚假的团队实力、平庸的路线规划、较高的Mint价格。
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
Website: https://www.sharkteam.org/
Telegram: https://t.me/sharkteamorg
Twitter:https://twitter.com/sharkteamorg
更多区块链安全咨询与分析,点击下方链接查看
D查查|链上风险核查 https://m.chainaegis.com/