# NFTコントラクトのセキュリティ:2022年上半期のインシデント分析と監査の問題2022年上半期、NFT分野でのセキュリティ事件が頻繁に発生し、巨額の損失を引き起こしました。データプラットフォームの監視によると、上半期に主要なNFTセキュリティ事件が10件発生し、累計損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、多くの個人ユーザーが損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の回顧### TreasureDAOイベント3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理的な誤りに起因し、トークンの種類を判断せずに価格を計算したため、非常に少量のトークンでNFTを購入できるようになってしまいました。この事件はERC-1155とERC-721トークンの混用が引き起こす可能性のある問題を明らかにしました。### APE Coinエアドロップイベント3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。問題はAirdropGrapesToken契約が即時ステータスによってNFTの所有権を判断するだけであり、攻撃者がフラッシュローンを利用して操作したことです。### Revest Financeイベント3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。脆弱性はERC-1155の再入攻撃にあり、契約は新しいNFTを鋳造する際に十分なチェックを行わなかったため、繰り返し実行可能な鋳造操作が発生しました。### NBAのハウヤンモウ事件4月21日、NBAプロジェクトが攻撃を受けました。問題は、署名検証メカニズムに脆弱性が存在し、署名が再利用可能であることと偽造される可能性があることです。### Akutarイベント4月23日、契約ロジックの誤りにより、11539 ETH(約3400万ドル)がAkutarのAkuAuction契約にロックされました。主な問題は、返金関数の設計が不適切であり、複数回の入札状況を処理できないことです。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)を失いました。脆弱性はXNFT契約が質押されたNFTの有効性を厳密にチェックしておらず、無効な質押記録を繰り返し使用して貸し出しを可能にしたことにあります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約に関するよくある質問1. サインの安全性: - 繰り返し実行の検証が欠けている、ユーザーのnonceのように - サインチェックが厳格でない場合、サイン者がゼロアドレスであるかどうかを検証していない2. ロジックの抜け穴: - 特殊なコインの鋳造方法は、総供給量の制限を回避する可能性があります。 - オークションプロセスには、取引順序依存攻撃のリスクがあります3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能は再入攻撃に利用される可能性があります4. 権限の範囲が大きすぎる: - 個別トークンの承認ではなく、グローバル承認を要求し、NFTの盗難リスクを増加させる5.価格操作: - NFTの価格は外部契約の状態に依存しており、フラッシュローンによって操作される可能性があります。これらの問題は実際の攻撃で頻繁に発生し、専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト側は契約の安全性を重視し、専門的な監査サービスを求めて安全リスクを低減すべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約の安全上のリスクが頻繁に発生 2022年上半期に約6500万ドルの損失
NFTコントラクトのセキュリティ:2022年上半期のインシデント分析と監査の問題
2022年上半期、NFT分野でのセキュリティ事件が頻繁に発生し、巨額の損失を引き起こしました。データプラットフォームの監視によると、上半期に主要なNFTセキュリティ事件が10件発生し、累計損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、多くの個人ユーザーが損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の回顧
TreasureDAOイベント
3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理的な誤りに起因し、トークンの種類を判断せずに価格を計算したため、非常に少量のトークンでNFTを購入できるようになってしまいました。この事件はERC-1155とERC-721トークンの混用が引き起こす可能性のある問題を明らかにしました。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。問題はAirdropGrapesToken契約が即時ステータスによってNFTの所有権を判断するだけであり、攻撃者がフラッシュローンを利用して操作したことです。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。脆弱性はERC-1155の再入攻撃にあり、契約は新しいNFTを鋳造する際に十分なチェックを行わなかったため、繰り返し実行可能な鋳造操作が発生しました。
NBAのハウヤンモウ事件
4月21日、NBAプロジェクトが攻撃を受けました。問題は、署名検証メカニズムに脆弱性が存在し、署名が再利用可能であることと偽造される可能性があることです。
Akutarイベント
4月23日、契約ロジックの誤りにより、11539 ETH(約3400万ドル)がAkutarのAkuAuction契約にロックされました。主な問題は、返金関数の設計が不適切であり、複数回の入札状況を処理できないことです。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)を失いました。脆弱性はXNFT契約が質押されたNFTの有効性を厳密にチェックしておらず、無効な質押記録を繰り返し使用して貸し出しを可能にしたことにあります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約に関するよくある質問
サインの安全性:
ロジックの抜け穴:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が大きすぎる:
5.価格操作:
これらの問題は実際の攻撃で頻繁に発生し、専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト側は契約の安全性を重視し、専門的な監査サービスを求めて安全リスクを低減すべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)