# NFTコントラクトのセキュリティ:2022年上半期のイベントレビューとFAQ分析2022年上半期、NFT分野では安全事件が頻発し、巨額の経済的損失を引き起こしました。データプラットフォームの監視によると、主要な安全事件が10件発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。Discordプラットフォーム上のフィッシング攻撃は特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーの損失が頻繁に発生しています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の振り返り### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームが攻撃され、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約内のロジックエラーに起因し、ERC-1155とERC-721トークンの区別処理が行われなかったため、攻撃者がゼロコストでNFTを購入できる状態になりました。### APE Coinエアドロップイベント2022年3月17日、攻撃者はフラッシュローンを利用して6万以上のAPE Coinエアドロップを取得しました。問題はAirdropGrapesTokenコントラクトにあり、これはユーザーのNFTに対する瞬時の所有権のみを確認し、フラッシュローンがもたらす影響を考慮していませんでした。### Revest Financeイベント2022年3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。 この脆弱性はRevestコントラクトに存在し、ERC-1155標準の隠された外部呼び出しによる再入攻撃の可能性につながります。### NBAのハウヤンモウ事件2022年4月21日、NBAプロジェクトが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、既に使用された署名の記録も行われず、msg.senderの検証も行われませんでした。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約はロジックの欠陥により11539ETH(約3400万ドル)がロックされました。払い戻し関数の条件判断がユーザーが複数のNFTに入札する可能性を考慮していなかったため、払い戻し操作が実行できませんでした。### XCarnival イベント2022年6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数は、質権NFTのxTokenアドレスと担保記録の状態に対する有効なチェックを行っておらず、攻撃者は無効な担保記録を繰り返し利用して借り入れを行うことができました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの冒用と再利用: - 簽名の再使用検証が不足しています - 署名チェックのロジックが不完全です2. ロジックの欠陥: - コインの総供給量の管理が不適切 - オークションプロセスにおける取引の順序は攻撃に依存する3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能は再入を引き起こす可能性があります4. 権限の範囲が広すぎる: - 単一のトークンの承認ではなく、グローバルな承認を要求する5.価格操作: - NFTの価格は外部要因に依存し、フラッシュローンなどの影響を受けやすいこれらの問題は実際の攻撃で頻繁に発生し、NFT契約の専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト側は契約の安全性を重視し、専門的な監査を通じて安全リスクを低減すべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
2022年上半期にNFTの安全事件が頻発し、契約の脆弱性が主要なリスクとなる
NFTコントラクトのセキュリティ:2022年上半期のイベントレビューとFAQ分析
2022年上半期、NFT分野では安全事件が頻発し、巨額の経済的損失を引き起こしました。データプラットフォームの監視によると、主要な安全事件が10件発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。Discordプラットフォーム上のフィッシング攻撃は特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーの損失が頻繁に発生しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームが攻撃され、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約内のロジックエラーに起因し、ERC-1155とERC-721トークンの区別処理が行われなかったため、攻撃者がゼロコストでNFTを購入できる状態になりました。
APE Coinエアドロップイベント
2022年3月17日、攻撃者はフラッシュローンを利用して6万以上のAPE Coinエアドロップを取得しました。問題はAirdropGrapesTokenコントラクトにあり、これはユーザーのNFTに対する瞬時の所有権のみを確認し、フラッシュローンがもたらす影響を考慮していませんでした。
Revest Financeイベント
2022年3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。 この脆弱性はRevestコントラクトに存在し、ERC-1155標準の隠された外部呼び出しによる再入攻撃の可能性につながります。
NBAのハウヤンモウ事件
2022年4月21日、NBAプロジェクトが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、既に使用された署名の記録も行われず、msg.senderの検証も行われませんでした。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約はロジックの欠陥により11539ETH(約3400万ドル)がロックされました。払い戻し関数の条件判断がユーザーが複数のNFTに入札する可能性を考慮していなかったため、払い戻し操作が実行できませんでした。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数は、質権NFTのxTokenアドレスと担保記録の状態に対する有効なチェックを行っておらず、攻撃者は無効な担保記録を繰り返し利用して借り入れを行うことができました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの冒用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
これらの問題は実際の攻撃で頻繁に発生し、NFT契約の専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト側は契約の安全性を重視し、専門的な監査を通じて安全リスクを低減すべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)