随着NFT市场的快速发展,平台安全问题日益成为业界关注的焦点。近日,知名NFT艺术品交易平台SuperRare的RareStakingV1质押合约遭遇一次严重的安全漏洞利用事件,攻击者通过合约中权限校验的缺陷成功盗取约11.9百万个$RARE代币,价值达到73万美元。但值得注意的是,此次事件并未波及$RARE代币本身的主合约,代币核心功能完好无损,整体影响可控。SuperRare的RareStakingV1合约于2023年8月推出,旨在为平台上的艺术家和社区提供基于$RARE代币的质押和策展机制。通过Curation Staking,参与者可以将$RARE代币质押在自己支持的艺术家身上,加入社区池,并在艺术家完成销售后获得奖励。然而,正是这个质押合约中的一个关键函数updateMerkleRoot存在权限控制缺陷,给黑客留下了可趁之机。
根据区块链安全公司Blockaid及威胁情报平台MistEye的分析,updateMerkleRoot函数原本旨在限制只有指定权限的账户能够更新核心的Merkle Root,从而保障质押奖励的合法性验证。函数权限校验的缺失,导致任何账户都可修改Merkle Root,进而通过伪造奖励证明提领$RARE代币。Blockaid的实时监控系统指明,攻击过程分为两步。首先,攻击者部署了一个专门的利用合约。但在其发起核心交易之前,另一地址成功在下一区块中抢先执行前置交易(前置攻击),抢走了大部分资金。这一抢先交易由与攻击者同一资金来源地址操控,且资金疑似通过已有186天历史的Tornado Cash混币服务提供,表明攻击者具有一定的隐匿操作能力。
此外,后续追踪显示该攻击账户还活跃于多个DeFi生态平台,如Pendle、Uniswap、Odos、Reservoir及Morpho,显示其为熟练的DeFi操作者。资金目前仍滞留于攻击者合约中,尚未流转至主流交易所或其他混币服务,这为后续资产追回增加了一定可能。SuperRare官方暂未发布详尽的漏洞事件复盘及修复方案,但安全专家建议平台应立即修补updateMerkleRoot函数中的权限问题。同时,质押合约整体架构也需重新评估安全边界,防范类似基于权限缺失的入侵。此次攻击的时机颇具象征意义。在NFT市场经历长时间低迷后,近段时间行业迎来了强劲反弹。
据统计,NFT板块在24小时内增值超过10亿美元,交易量暴涨287%,达到3740万美元。以太坊价格也大幅上涨,30天内上涨55%,最高触及3814美元,推动NFT买卖价格整体走高。头部藏品如CryptoPunks和Pudgy Penguins表现尤为突出,CryptoPunks地板价上涨16%至47.5个ETH,近179000美元,单日销售额达1400万美元。Pudgy Penguins日交易额570万美元,地板价上涨15%。这一市场复苏背景下出现的安全事件,提醒行业参与者在享受市场回暖红利同时,更需重视智能合约安全防护。保护用户资产安全才能确保NFT生态健康可持续发展。
针对未来,NFT平台应持续加强代码审计与多方安全评估,完善权限管理及风险监控机制。用户在参与质押和交易时,也应审慎识别潜在风险,优先选择安全性较高的平台与合约。行业监管层面,也需推动安全标准建设与合规指引,促使NFT市场形成良性循环与秩序建立。此次SuperRare RareStakingV1合约被攻事件,揭示了NFT领域安全挑战的现实与严峻。面对市场蓬勃发展的同时,平台方、开发者、安全团队与用户应共同携手,提升防护能力与风险意识,推动NFT产业走向更加稳健的未来。随着区块链技术逐步成熟,安全漏洞或遭入侵行为或将逐渐减少,但永远不可掉以轻心,持续审视与完善安全体系作为NFT发展的基石不可忽视。
SuperRare事件或成为行业敲钟,促使生态系统内各方加速重视安全合约设计,推动更高质量NFT产品与服务问世。未来只有构建更加坚实的安全防线,NFT才可能真正释放其潜力,成为数字经济中不可逆转的重要组成部分。
