# NFTコントラクトの安全性:2022年上半期の事件回顧と監査の要点2022年上半期、NFT分野でのセキュリティ事件が頻発し、大きな経済損失を引き起こしました。あるブロックチェーンセキュリティプラットフォームの監視によると、上半期に合計10件の主要なNFTセキュリティ事件が発生し、総損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に注意すべきは、Discordのフィッシング事件がほぼ毎日発生しており、多くのユーザーがフィッシングリンクをクリックしたために損失を被っていることです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判断が欠如しているため、ERC-20トークンの支払い額が0の場合でもトークンを購入できることが原因です。この問題はERC-1155とERC-721トークンの混用によって引き起こされた論理的混乱に起因しています。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを通じて6万枚以上のAPE Coinエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権状態のみを確認し、フラッシュローンがもたらす影響を考慮していませんでした。### Revest Financeイベント2022年3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。 この脆弱性は、REVESTコントラクトのdepositAdditionalToFNFT()機能に現れるERC-1155リエントランシー攻撃に関係しています。### NBAのハッキング事件2022年4月21日、NBAプロジェクトチームが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、使用済みの署名を保存およびmsg.senderの検証が行われていませんでした。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約は、ロジックの脆弱性により11539ETH(約3400万ドル)がロックされました。主な問題は、返金関数の設計不備とユーザーの複数回入札の状況を考慮していないことです。### XCarnival イベント2022年6月24日、NFTレンディングプロトコルXCarnivalが攻撃を受け、約380万ドルの損失が発生しました。XNFTコントラクトのpledgeAndBorrow関数には論理的な脆弱性があり、xTokenアドレスと担保記録の状態についての有効なチェックが行われていませんでした。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの不正使用と再利用: - 繰り返し実行の検証が欠けています - サインチェックが不合理です2. ロジックの抜け道: - コインの総供給量の管理が不適切 - オークションプロセス中の取引順序は攻撃に依存します3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能が再入を引き起こす可能性があります4. 権限の範囲が広すぎる: - 不必要なグローバル権限リスク5.価格操作: - NFTの価格は操作されやすい要因に依存するNFT契約の安全事件が頻発しているため、プロジェクトチームは契約の安全監査作業を重視し、潜在的なリスクを防ぎ、ユーザー資産の安全を守るべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFTコントラクトセキュリティアラート:2022年上半期の10件のインシデントで6,490万ドルの損失
NFTコントラクトの安全性:2022年上半期の事件回顧と監査の要点
2022年上半期、NFT分野でのセキュリティ事件が頻発し、大きな経済損失を引き起こしました。あるブロックチェーンセキュリティプラットフォームの監視によると、上半期に合計10件の主要なNFTセキュリティ事件が発生し、総損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に注意すべきは、Discordのフィッシング事件がほぼ毎日発生しており、多くのユーザーがフィッシングリンクをクリックしたために損失を被っていることです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判断が欠如しているため、ERC-20トークンの支払い額が0の場合でもトークンを購入できることが原因です。この問題はERC-1155とERC-721トークンの混用によって引き起こされた論理的混乱に起因しています。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを通じて6万枚以上のAPE Coinエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権状態のみを確認し、フラッシュローンがもたらす影響を考慮していませんでした。
Revest Financeイベント
2022年3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。 この脆弱性は、REVESTコントラクトのdepositAdditionalToFNFT()機能に現れるERC-1155リエントランシー攻撃に関係しています。
NBAのハッキング事件
2022年4月21日、NBAプロジェクトチームが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、使用済みの署名を保存およびmsg.senderの検証が行われていませんでした。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約は、ロジックの脆弱性により11539ETH(約3400万ドル)がロックされました。主な問題は、返金関数の設計不備とユーザーの複数回入札の状況を考慮していないことです。
XCarnival イベント
2022年6月24日、NFTレンディングプロトコルXCarnivalが攻撃を受け、約380万ドルの損失が発生しました。XNFTコントラクトのpledgeAndBorrow関数には論理的な脆弱性があり、xTokenアドレスと担保記録の状態についての有効なチェックが行われていませんでした。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの不正使用と再利用:
ロジックの抜け道:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
NFT契約の安全事件が頻発しているため、プロジェクトチームは契約の安全監査作業を重視し、潜在的なリスクを防ぎ、ユーザー資産の安全を守るべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)