# NFTコントラクトのセキュリティ:2022年上半期のイベントレビューと監査のハイライト2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。データプラットフォームの監視によると、この半年間に10件の重大なNFTセキュリティ事件が発生し、総損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。その中でも、Discordサーバーは頻繁に攻撃を受け、ユーザーはフィッシングリンクをクリックすることで大きな損失を被りました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント3月3日、TreasureDAO取引所がハッキングされ、100点以上のNFTが盗まれました。原因は契約に論理的な脆弱性があり、ERC-1155とERC-721トークンの混用により価格計算に誤りが生じ、攻撃者が無コストでNFTを購入できるようになったためです。これは異なるトークン標準の混用時のリスクを浮き彫りにしています。### APE Coinエアドロップイベント3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinのエアドロップを取得しました。バグは、エアドロップ契約が呼び出し元の即時NFT保有状況のみを確認し、フラッシュローンがその状況を操作可能であることを考慮していなかったことにあります。これは、エアドロップメカニズムを慎重に設計する必要があることを私たちに警告しています。### Revest Financeイベント3月27日、Revest Financeが攻撃を受けて12万ドルの損失を被りました。原因はERC-1155契約に再入侵の脆弱性が存在し、攻撃者がミント操作を繰り返し実行できるためです。これはERC-1155標準の安全リスクを再確認するものです。### NBAプロジェクトイベント4月21日、NBAプロジェクトが攻撃を受けました。契約はホワイトリストの検証時に署名の偽造と再利用の問題があり、使用された署名の記録と検証が行われていませんでした。これは署名検証メカニズムの脆弱性を暴露しました。### Akutarイベント4月23日、Akutarプロジェクトは契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主な原因は返金関数の論理エラーで、ユーザーの複数回の入札状況が考慮されていませんでした。これは徹底的なテストの重要性を浮き彫りにしています。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、3087 ETH(、約380万ドル)の損失を被りました。脆弱性は、ステーキングと貸出のロジックに誤りがあり、xTokenアドレス及び担保記録の状態が検証されていなかったことに起因します。これは、NFT貸出プラットフォームが特有のセキュリティの課題に直面していることを示しています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクト監査のよくある質問1. 署名のなりすましと再利用: nonce検証が欠如している、署名チェックが厳密でない等。2. ロジックの欠陥: コイン総量の管理失敗、入札の欠陥など。3. ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。4. 権限の範囲が広すぎる: 不必要なグローバル権限がリスクを増加させる。5. 価格操作:外部契約の状態に依存し、フラッシュローン攻撃を受けやすい。これらの問題は実際の攻撃で頻繁に見られ、専門的なセキュリティ監査の必要性を浮き彫りにしています。NFTプロジェクトは契約の安全性を重視し、潜在的なリスクを全面的に評価して、未然に防ぐ必要があります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
2022年上半期のNFTトップ10セキュリティ事件回顧 損失は約6500万ドル
NFTコントラクトのセキュリティ:2022年上半期のイベントレビューと監査のハイライト
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。データプラットフォームの監視によると、この半年間に10件の重大なNFTセキュリティ事件が発生し、総損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。その中でも、Discordサーバーは頻繁に攻撃を受け、ユーザーはフィッシングリンクをクリックすることで大きな損失を被りました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
3月3日、TreasureDAO取引所がハッキングされ、100点以上のNFTが盗まれました。原因は契約に論理的な脆弱性があり、ERC-1155とERC-721トークンの混用により価格計算に誤りが生じ、攻撃者が無コストでNFTを購入できるようになったためです。これは異なるトークン標準の混用時のリスクを浮き彫りにしています。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinのエアドロップを取得しました。バグは、エアドロップ契約が呼び出し元の即時NFT保有状況のみを確認し、フラッシュローンがその状況を操作可能であることを考慮していなかったことにあります。これは、エアドロップメカニズムを慎重に設計する必要があることを私たちに警告しています。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受けて12万ドルの損失を被りました。原因はERC-1155契約に再入侵の脆弱性が存在し、攻撃者がミント操作を繰り返し実行できるためです。これはERC-1155標準の安全リスクを再確認するものです。
NBAプロジェクトイベント
4月21日、NBAプロジェクトが攻撃を受けました。契約はホワイトリストの検証時に署名の偽造と再利用の問題があり、使用された署名の記録と検証が行われていませんでした。これは署名検証メカニズムの脆弱性を暴露しました。
Akutarイベント
4月23日、Akutarプロジェクトは契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主な原因は返金関数の論理エラーで、ユーザーの複数回の入札状況が考慮されていませんでした。これは徹底的なテストの重要性を浮き彫りにしています。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、3087 ETH(、約380万ドル)の損失を被りました。脆弱性は、ステーキングと貸出のロジックに誤りがあり、xTokenアドレス及び担保記録の状態が検証されていなかったことに起因します。これは、NFT貸出プラットフォームが特有のセキュリティの課題に直面していることを示しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクト監査のよくある質問
署名のなりすましと再利用: nonce検証が欠如している、署名チェックが厳密でない等。
ロジックの欠陥: コイン総量の管理失敗、入札の欠陥など。
ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。
権限の範囲が広すぎる: 不必要なグローバル権限がリスクを増加させる。
価格操作:外部契約の状態に依存し、フラッシュローン攻撃を受けやすい。
これらの問題は実際の攻撃で頻繁に見られ、専門的なセキュリティ監査の必要性を浮き彫りにしています。NFTプロジェクトは契約の安全性を重視し、潜在的なリスクを全面的に評価して、未然に防ぐ必要があります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)