# NFTコントラクトのセキュリティ:2022年上半期のイベントレビューとFAQ分析2022年上半期、NFT分野では安全事件が頻繁に発生し、巨額の経済的損失を引き起こしました。データプラットフォームの監視によると、合計で10件の主要な安全事件が発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordのフィッシング事件はほぼ毎日発生しており、個人ユーザーが頻繁に損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の振り返り### TreasureDAOイベント3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理的なエラーに起因し、トークンの種類を判断せずに価格を計算したため、ゼロコストでNFTを購入することができました。この事件は、ERC-1155とERC-721トークンの混用による論理的なリスクを浮き彫りにしました。### APE Coinエアドロップイベント3月17日、ハッカーはフラッシュローンを介して6万以上のAPEコインのエアドロップを取得しました。AirdropGrapesTokenのエアドロップ契約の脆弱性は、即時残高のみでNFTの所有権を判断することにあり、攻撃者はNFTを借り入れることで瞬時にエアドロップを取得できるようになっています。### Revest Financeイベント3月27日に、Revest Financeが攻撃を受け、12万ドルの損失を被りました。脆弱性はERC-1155の再入攻撃にあり、契約は新しいFNFTを鋳造する際に十分にチェックされておらず、再入の脆弱性が発生しました。### NBAのハウヤンモー事件4月21日、NBAプロジェクトが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、使用済みの署名の記録と検証が行われていませんでした。### Akutarイベント4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、1.15万ETH(約3400万ドル)がロックされました。主な問題には、返金関数が悪意のある中断を受ける可能性があり、ユーザーの複数回の入札状況を考慮していないために返金が永久に失敗することが含まれます。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失が発生しました。XNFT契約は、NFTをステーキングする際にxTokenアドレスのホワイトリストチェックを行わず、借入時に担保記録の状態を確認しなかったため、攻撃者は無効な担保記録を繰り返し使用して借入を行うことができました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクト監査のよくある質問1. 署名のなりすましと再利用: - 繰り返し実行の検証が不足しています。ユーザーのnonceのように - サインチェックが不合理です。ゼロアドレスの状況が確認されていません。2. ロジックの抜け穴: - 管理者のミントは総供給制限を回避する可能性があります - オークションプロセスには取引順序依存攻撃のリスクが存在します3. ERC721/ERC1155 リエントランシー攻撃: - 転送通知機能は再入攻撃を引き起こす可能性があります4. 権限の範囲が広すぎる: - 過度な権限を要求し、NFTの盗難リスクを高める5.価格操作: - NFTの価格は外部契約に依存し、フラッシュローンによって操作される可能性があります。これらの一般的な問題や実際に発生したセキュリティ事件を考慮すると、NFT契約の専門的なセキュリティ監査が特に重要となります。プロジェクトチームは契約の安全性を重視し、潜在的なリスクを低減するために包括的な保護措置を講じるべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約のセキュリティリスクが頻発し、上半期に6490万ドルの損失が発生
NFTコントラクトのセキュリティ:2022年上半期のイベントレビューとFAQ分析
2022年上半期、NFT分野では安全事件が頻繁に発生し、巨額の経済的損失を引き起こしました。データプラットフォームの監視によると、合計で10件の主要な安全事件が発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordのフィッシング事件はほぼ毎日発生しており、個人ユーザーが頻繁に損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理的なエラーに起因し、トークンの種類を判断せずに価格を計算したため、ゼロコストでNFTを購入することができました。この事件は、ERC-1155とERC-721トークンの混用による論理的なリスクを浮き彫りにしました。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを介して6万以上のAPEコインのエアドロップを取得しました。AirdropGrapesTokenのエアドロップ契約の脆弱性は、即時残高のみでNFTの所有権を判断することにあり、攻撃者はNFTを借り入れることで瞬時にエアドロップを取得できるようになっています。
Revest Financeイベント
3月27日に、Revest Financeが攻撃を受け、12万ドルの損失を被りました。脆弱性はERC-1155の再入攻撃にあり、契約は新しいFNFTを鋳造する際に十分にチェックされておらず、再入の脆弱性が発生しました。
NBAのハウヤンモー事件
4月21日、NBAプロジェクトが攻撃を受けました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造および再利用の問題があり、使用済みの署名の記録と検証が行われていませんでした。
Akutarイベント
4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、1.15万ETH(約3400万ドル)がロックされました。主な問題には、返金関数が悪意のある中断を受ける可能性があり、ユーザーの複数回の入札状況を考慮していないために返金が永久に失敗することが含まれます。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失が発生しました。XNFT契約は、NFTをステーキングする際にxTokenアドレスのホワイトリストチェックを行わず、借入時に担保記録の状態を確認しなかったため、攻撃者は無効な担保記録を繰り返し使用して借入を行うことができました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクト監査のよくある質問
署名のなりすましと再利用:
ロジックの抜け穴:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
これらの一般的な問題や実際に発生したセキュリティ事件を考慮すると、NFT契約の専門的なセキュリティ監査が特に重要となります。プロジェクトチームは契約の安全性を重視し、潜在的なリスクを低減するために包括的な保護措置を講じるべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)