# NFT契約の安全性:2022年上半期の出来事の振り返りと監査のポイント2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。あるブロックチェーンセキュリティプラットフォームの監視によると、上半期に主要なNFTセキュリティ事件が10件発生し、累計損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でもDiscordプラットフォームに対するフィッシング攻撃は特に横行しており、ほぼ毎日のようにサーバーが攻撃を受け、ユーザーの資産が失われています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の振り返り### TreasureDAOイベント3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数の論理的エラーに起因し、トークンの種類を判断せずに価格を計算したため、0トークンの価格でNFTを購入できてしまいました。これはERC-1155とERC-721トークンの混用による論理的混乱の問題を示しています。### APE Coinエアドロップイベント3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinのエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約に存在し、balanceOf()のみを通じてNFTの所有権を判断しており、この方法はフラッシュローンによって操作可能です。### Revest Financeイベント3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被った。原因はRevestの契約にERC-1155の再入可能性の脆弱性が存在し、FNFTの鋳造ロジックが正しく処理されなかったためである。### NBAウールピッキング事件4月21日、NBAプロジェクトがハッキングされました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造と再利用の問題があり、使用された署名の保存と検証が行われていませんでした。### Akutarイベント4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主に2つの論理的脆弱性が存在しました: 返金関数が悪意を持って中断される可能性があり、ユーザーの複数回の入札状況が考慮されていませんでした。### XCarnival イベント6月24日、XCarnivalの貸出契約が攻撃され、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数は、xTokenアドレスと担保記録の状態を有効にチェックしていませんでした。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの悪用と再利用: - 繰り返し実行の検証が不足しています。ユーザーのnonceのように。 - サインチェックが厳しくなく、ゼロアドレスがチェックされていない場合2. ロジックの欠陥: - コインの総供給量の制限が不適切 - オークションプロセスには取引順序の依存があります3. ERC721/ERC1155 リエントランシー攻撃: - 振込通知機能は再入可能性を引き起こす可能性があります4. 権限の範囲が広すぎる: - 過度な権限を要求し、資産の盗難リスクを増加させる5.価格操作: - NFTの価格は操作可能な外部データに依存しています! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)NFT契約の安全事件が頻発し、損失が巨大であることを考慮して、プロジェクト側は契約の安全監査を重視し、専門のセキュリティ会社に全面的な検査を依頼して、安全リスクを低減する必要があります。
NFTコントラクトのセキュリティリスクは頻繁に発生し、2022年上半期には6,490万ドルの損失を出しました
NFT契約の安全性:2022年上半期の出来事の振り返りと監査のポイント
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。あるブロックチェーンセキュリティプラットフォームの監視によると、上半期に主要なNFTセキュリティ事件が10件発生し、累計損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でもDiscordプラットフォームに対するフィッシング攻撃は特に横行しており、ほぼ毎日のようにサーバーが攻撃を受け、ユーザーの資産が失われています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数の論理的エラーに起因し、トークンの種類を判断せずに価格を計算したため、0トークンの価格でNFTを購入できてしまいました。これはERC-1155とERC-721トークンの混用による論理的混乱の問題を示しています。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinのエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約に存在し、balanceOf()のみを通じてNFTの所有権を判断しており、この方法はフラッシュローンによって操作可能です。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被った。原因はRevestの契約にERC-1155の再入可能性の脆弱性が存在し、FNFTの鋳造ロジックが正しく処理されなかったためである。
NBAウールピッキング事件
4月21日、NBAプロジェクトがハッキングされました。The_Association_Sales契約はホワイトリスト検証時に署名の偽造と再利用の問題があり、使用された署名の保存と検証が行われていませんでした。
Akutarイベント
4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主に2つの論理的脆弱性が存在しました: 返金関数が悪意を持って中断される可能性があり、ユーザーの複数回の入札状況が考慮されていませんでした。
XCarnival イベント
6月24日、XCarnivalの貸出契約が攻撃され、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数は、xTokenアドレスと担保記録の状態を有効にチェックしていませんでした。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの悪用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約の安全事件が頻発し、損失が巨大であることを考慮して、プロジェクト側は契約の安全監査を重視し、専門のセキュリティ会社に全面的な検査を依頼して、安全リスクを低減する必要があります。