# NFT契約監査に関するよくある質問と典型的なセキュリティ事件の分析2022年上半期、NFT分野では安全事件が頻発し、大きな経済的損失を引き起こしました。データプラットフォームの監視によると、この期間中に重大なNFT安全事件が10件発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordサーバーが頻繁に攻撃を受け、ユーザーがフィッシングリンクをクリックして損失を被る事例が多く見られました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なNFTセキュリティインシデントの分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引所がハッキングされ、100を超えるNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判定が欠如していたため、攻撃者がERC-20トークンの支払い額を0にしてトークンを購入することを許可しました。この事件は、ERC-1155とERC-721トークンの混用による論理混乱の問題を浮き彫りにしました。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約がalpha.balanceOf()とbeta.balanceOf()を使用してユーザーのBAYC/MAYC NFTの所有権を判定することに起因しており、この方法は瞬時の状態しか取得できず、フラッシュローンによって操作されやすいです。### Revest Financeイベント2022年3月27日、Revest Financeは攻撃を受け、12万ドルを失いました。 この脆弱性は、ERC-1155の再入の問題により、攻撃者が複数のミント操作を実行できたRevestコントラクトのdepositAdditionalToFNFT()機能に現れました。### NBAウールピッキング事件2022年4月21日、NBAプロジェクトがハッキングされました。The_Association_Sales契約は、ホワイトリストを検証する際に署名の使い回しと偽造の問題があり、これは主に使用済みの署名が保存されておらず、msg.senderの検証が不足しているためです。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、11539ETH(約3400万ドル)がロックされました。主な問題は、返金関数の論理的欠陥と、ユーザーが複数回入札する状況が考慮されていなかったことです。### XCarnival イベント2022年6月24日、NFT貸出プロトコルXCarnivalが攻撃を受け、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数には論理的な脆弱性が存在し、xTokenアドレスと担保記録の状態に対する有効なチェックが行われていませんでした。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの冒用と再利用: - 繰り返し実行の検証が不足しており、署名データを繰り返し使用してNFTを鋳造することを許可する - 署名の検査が厳格でないため、任意のユーザーが検査を通じてコインを鋳造する可能性があります。2. ロジックの欠陥: - コントラクト管理者は、総供給制限を回避してコインを発行することができます。 - オークションプロセスには取引順序依存攻撃のリスクが存在します3. ERC721/ERC1155 リエントランシー攻撃: - 転送通知機能を使用する際に再入攻撃が発生する可能性があります4. 権限の範囲が広すぎる: - 過度な権限要求はNFTの盗難リスクを引き起こす可能性があります5.価格操作: - NFTの価格は外部契約のトークン保有量に依存しており、フラッシュローン攻撃の影響を受ける可能性がありますこれらの問題は実際のセキュリティ事件で頻繁に発生し、NFT契約に対する専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクトチームは契約の安全性を重視し、潜在的な脆弱性を迅速に発見して修正し、同様の事件が再発しないようにすべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約の安全事件が頻発 六つの典型的なケーススタディと監査の重点
NFT契約監査に関するよくある質問と典型的なセキュリティ事件の分析
2022年上半期、NFT分野では安全事件が頻発し、大きな経済的損失を引き起こしました。データプラットフォームの監視によると、この期間中に重大なNFT安全事件が10件発生し、約6490万ドルの損失がありました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。特に、Discordサーバーが頻繁に攻撃を受け、ユーザーがフィッシングリンクをクリックして損失を被る事例が多く見られました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なNFTセキュリティインシデントの分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引所がハッキングされ、100を超えるNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判定が欠如していたため、攻撃者がERC-20トークンの支払い額を0にしてトークンを購入することを許可しました。この事件は、ERC-1155とERC-721トークンの混用による論理混乱の問題を浮き彫りにしました。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約がalpha.balanceOf()とbeta.balanceOf()を使用してユーザーのBAYC/MAYC NFTの所有権を判定することに起因しており、この方法は瞬時の状態しか取得できず、フラッシュローンによって操作されやすいです。
Revest Financeイベント
2022年3月27日、Revest Financeは攻撃を受け、12万ドルを失いました。 この脆弱性は、ERC-1155の再入の問題により、攻撃者が複数のミント操作を実行できたRevestコントラクトのdepositAdditionalToFNFT()機能に現れました。
NBAウールピッキング事件
2022年4月21日、NBAプロジェクトがハッキングされました。The_Association_Sales契約は、ホワイトリストを検証する際に署名の使い回しと偽造の問題があり、これは主に使用済みの署名が保存されておらず、msg.senderの検証が不足しているためです。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、11539ETH(約3400万ドル)がロックされました。主な問題は、返金関数の論理的欠陥と、ユーザーが複数回入札する状況が考慮されていなかったことです。
XCarnival イベント
2022年6月24日、NFT貸出プロトコルXCarnivalが攻撃を受け、約380万ドルの損失を被りました。XNFT契約のpledgeAndBorrow関数には論理的な脆弱性が存在し、xTokenアドレスと担保記録の状態に対する有効なチェックが行われていませんでした。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの冒用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
これらの問題は実際のセキュリティ事件で頻繁に発生し、NFT契約に対する専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクトチームは契約の安全性を重視し、潜在的な脆弱性を迅速に発見して修正し、同様の事件が再発しないようにすべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)