NFT是“Non Fungible Token”的简称，即非同质化通证。一个NFT可以被理解为是存储在区块链上的一个独一无二的单元数据。每当谈及NFT，我们会很自然地将其与常见的ERC-20代币进行类比，但NFT与ERC-20代币及其它类同质数字资产（如比特币、以太坊）的操作相比有着明显的区别。

近年来，以NFT为核心发展出了一个全新的生态，在2021年发展迅猛，逐步形成具备较完备基础设施，拥有收藏、游戏、社交、运动等特色业务，且具有交易、借贷、质押等金融属性的新兴领域。

但是在生态快速发展的同时，生态中的安全问题却频繁显现。在2022年第一季度已陆续发生：

• 1月28日，The Sandbox 合约的Burn漏洞；
• 2月17日，针对 OpenSea 的钓鱼攻击；
• 2月18日，X2Y2 可升级漏洞；
• 3月3日，TreasureDAO 零元购漏洞；
• 3月17日，APE空投漏洞；

当业界审视这些安全问题时往往将其与ERC-20通证生态中的安全问题进行类比，但是NFT领域中出现的安全问题却有自己的特点和差异。然而这些特点和差异却还没有系统地受到业界的关注和研究。

SharkTeam以此次APE空投漏洞为例，将为您总结目前NFT领域常见的几类安全问题，一方面希望投资者在参与NFT项目时可以进一步提高风险防范意识、提高风险甄别能力；另一方面也希望与NFT项目方从安全角度深度合作，一起提高NFT相关业务的安全性和可持续性。闲话不多说，我们先一起来看一下APE空投漏洞是如何产生的。

一、        APE空投漏洞

3月17日晚，根据twitter用户Will Sheehan的报告，套利机器人通过闪电贷薅羊毛，拿到6W多APE Coin。

tx：

https://etherscan.io/tx/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098

（1）套利者首先在OpenSea（https://opensea.io/ ）上用106 ETH购买了编号1060的BYAC NFT，并且转移给套利合约（0x7797）

（2） 套利合约在NFTX（https://nftx.io/ ）上抵押编号为1060编号的BYAC NFT，并利用NFTX提供的FlashLoan和Redeem这两个核心函数功能借出编号为7594、8214、9915、8167、4755这5个BYAC NFT.

• Flashloan提供的功能是：拿着自己 BAYC NFT 铸造并借贷 BAYC 代币。

• Redeem提供的功能是：你拿着 BAYC 代币赎回市场中的 BAYC NFT。

（3）套利者在获得这些BYAC NFT，立刻在空投合约中领取了60564个APE Coin空投奖励。并换成了14.152 ETH。

（4）当然，Redeem的资金来源是闪电贷，必须在一个交易里归还 BYAC代币，否则交易不生效。

总结：本次套利的核心逻辑是，在NFTX中抵押自己的 BYAC NFT并闪电贷出 BAYC 代币，再使用BYAC 代币 redeem出其他 BYAC NFT， 最后使用这些 BYAC NFT 领取空投并获利。

安全建议：因为此次领取空投的判断逻辑是领取时是否持有，而不是真实拥有，所以套利者才能在一笔交易中完成闪电贷和撸空投。建议可以采用链下快照空投的方式，将抵挡这类撸空投行为，将奖励真正分发给有资格领取的用户。

二、近期其他NFT安全事件

（1）The Sandbox 合约的Burn漏洞

         2022年1月28日The Sandbox 官方发布一则 LAND 智能合约迁移的公告，迁移原因则是合约中存在一个安全漏洞，导致任何用户都可以去随意 burn 掉其他用户的 NFT。

（2）针对 OpenSea 的钓鱼攻击

被攻击的用户意外签署了来自攻击者的恶意交易，攻击者获得了用户的挂单授权，然后利用该授权签名窃取了用户的NFT。

（3）X2Y2 可升级漏洞

         X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约，升级权限（proxyAdmin的owner）是官方单地址，理论上存在官方通过升级合约，然后转走用户NFT的可能。

X2X2团队针对可升级合约的漏洞，采用多签钱包和时间锁对合约进行了修复。

（4）TreasureDAO 零元购漏洞

         在进行ERC-721标准的NFT转移前，缺少了对于传入的_quantity参数不为 0 的判断，导致了ERC-721 标准的NFT可以直接被转移且计算价格时购买NFT所需费用被计算成 0。

（5）不断发生的项目欺诈和项目跑路事件

         NFT行业的发展也伴随着不断发生的项目欺诈和项目跑路事件，在此不再一一列举。通常这些项目有一些共同特点，例如：虚假的关注人数、虚假的团队实力、平庸的路线规划、较高的Mint价格。

三、团队介绍

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

Website: https://www.sharkteam.org/

Telegram: https://t.me/sharkteamorg

Twitter：https://twitter.com/sharkteamorg

更多区块链安全咨询与分析，点击下方链接查看

D查查|链上风险核查 https://m.chainaegis.com/