SharkTeam独家分析 从APE空投漏洞谈起，NFT安全情况

　　NFT是“Non Fungible Token”的简称，即非同质化通证。一个NFT可以被理解为是存储在区块链上的一个独一无二的单元数据。每当谈及NFT，我们会很自然地将其与常见的ERC-20代币进行类比，但NFT与ERC-20代币及其它类同质数字资产（如比特币、以太坊）的操作相比有着明显的区别。

　　近年来，以NFT为核心发展出了一个全新的生态，在2021年发展迅猛，逐步形成具备较完备基础设施，拥有收藏、游戏、社交、运动等特色业务，且具有交易、借贷、质押等金融属性的新兴领域。

　　但是在生态快速发展的同时，生态中的安全问题却频繁显现。在2022年第一季度已陆续发生：

　　l1月28日，The Sandbox 合约的Burn漏洞；

　　l2月17日，针对 OpenSea 的钓鱼攻击；

　　l2月18日，X2Y2 可升级漏洞；

　　l3月3日，TreasureDAO 零元购漏洞；

　　l3月17日，APE空投漏洞；

　　当业界审视这些安全问题时往往将其与ERC-20通证生态中的安全问题进行类比，但是NFT领域中出现的安全问题却有自己的特点和差异。然而这些特点和差异却还没有系统地受到业界的关注和研究。

　　SharkTeam以此次APE空投漏洞为例，将为您总结目前NFT领域常见的几类安全问题，一方面希望投资者在参与NFT项目时可以进一步提高风险防范意识、提高风险甄别能力；另一方面也希望与NFT项目方从安全角度深度合作，一起提高NFT相关业务的安全性和可持续性。闲话不多说，我们先一起来看一下APE空投漏洞是如何产生的。

　　一、APE空投漏洞

　　3月17日晚，根据twitter用户Will Sheehan的报告，套利机器人通过闪电贷薅羊毛，拿到6W多APE Coin。

　　tx：

　　（1）套利者首先在OpenSea（）上用106ETH购买了编号1060的BYAC NFT，淘宝涨价并且转移给套利合约（0x7797）

　　（2） 套利合约在NFTX（）上抵押编号为1060编号的BYAC NFT，并利用NFTX提供的FlashLoan和Redeem这两个核心函数功能借出编号为7594、8214、9915、8167、4755这5个BYAC NFT.

　　lFlashloan提供的功能是：拿着自己 BAYC NFT 铸造并借贷 BAYC 代币。

　　lRedeem提供的功能是：你拿着 BAYC 代币赎回市场中的 BAYC NFT。

　　（3）套利者在获得这些BYAC NFT，立刻在空投合约中领取了60564个APE Coin空投奖励。并换成了14.152ETH。

　　（4）当然，Redeem的资金来源是闪电贷，必须在一个交易里归还 BYAC代币，否则交易不生效。

　　总结：本次套利的核心逻辑是，在NFTX中抵押自己的 BYAC NFT并闪电贷出 BAYC 代币，再使用BYAC 代币 redeem出其他 BYAC NFT， 最后使用这些 BYAC NFT 领取空投并获利。

　　安全建议：因为此次领取空投的判断逻辑是领取时是否持有，而不是真实拥有，所以套利者才能在一笔交易中完成闪电贷和撸空投。建议可以采用链下快照空投的方式，将抵挡这类撸空投行为，将奖励真正分发给有资格领取的用户。

　　二、近期其他NFT安全事件

　　（1）The Sandbox 合约的Burn漏洞

　　2022年1月28日The Sandbox 官方发布一则 LAND 智能合约迁移的公告，迁移原因则是合约中存在一个安全漏洞，导致任何用户都可以去随意 burn 掉其他用户的 NFT。

　　（2）针对 OpenSea 的钓鱼攻击

　　被攻击的用户意外签署了来自攻击者的恶意交易，攻击者获得了用户的挂单授权，然后利用该授权签名窃取了用户的NFT。

　　（3）X2Y2 可升级漏洞

　　X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约，升级权限（proxyAdmin的owner）是官方单地址，理论上存在官方通过升级合约，然后转走用户NFT的可能。

　　X2X2团队针对可升级合约的漏洞，采用多签钱包和时间锁对合约进行了修复。

　　（4）TreasureDAO 零元购漏洞

　　在进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为 0 的判断，导致了ERC-721 标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成 0。

　　（5）不断发生的项目欺诈和项目跑路事件

　　NFT行业的发展也伴随着不断发生的项目欺诈和项目跑路事件，在此不再一一列举。通常这些项目有一些共同特点，例如：虚假的关注人数、虚假的团队实力、平庸的路线规划、较高的Mint价格。

　　三、团队介绍

　　SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

　　SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。