# NFTコントラクトのセキュリティ:2022年上半期のイベントレビューと監査FAQ分析2022年上半期、NFT分野では安全事件が頻発し、巨大な経済損失を引き起こしました。データプラットフォームの監視によると、合計で10件の主要な安全事件が発生し、損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。一方、Discordのフィッシング事件はほぼ毎日発生し、個人ユーザーは頻繁に損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の振り返り### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約のbuyItem関数のロジックの混乱から生じ、トークンの種類を判断せずに価格を直接計算したため、0 ERC-20トークンでNFTを購入できることになりました。これはERC-1155とERC-721トークンの混用時に発生する可能性のあるロジックの問題を反映しています。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを通じて6万以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約は、balanceOf()を通じてNFTの所有権を判断するだけであり、この方法はフラッシュローンによって操作されやすいです。### Revest Financeイベント2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。脆弱性はERC-1155の再入攻撃に起因し、契約は新しいFNFTを鋳造する際に既に存在するかどうかを判断せず、状態変数が_mint()の後に自増するため、再入脆弱性が生じました。### NBAハウヤンモウ事件2022年4月21日,NBAプロジェクトが攻撃を受けました。The_Association_Sales契約は、検証ホワイトリストの際に署名の偽造と再利用の問題があり、使用済みの署名が保存されておらず、msg.senderの検証が行われていませんでした。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、1.15万ETHがロックされました。主に2つの論理的な問題が存在します: 返金関数が悪意によって中断される可能性があること; ユーザーが複数回入札する場合が考慮されておらず、返金が実行できないことです。### XCarnival イベント2022年6月24日、XCarnivalが攻撃を受けて3087ETHを失いました。XNFT契約は、NFTをステーキングする際にxTokenアドレスをチェックせず、貸出時に担保記録の状態を検出しなかったため、攻撃者は無効な担保を繰り返し使用して貸出を行うことができました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの悪用と再利用: 繰り返し実行の検証が欠如; サインチェックが不合理。2. 論理的欠陥: 管理者は総発行量の制限を突破してコインを鋳造できる; オークション時に取引順序依存攻撃が存在する。3. ERC721/ERC1155 リエントランシー攻撃:転送通知機能の使用時にリエントランシーが発生する場合があります。4. 権限の範囲が広すぎる: グローバルな権限を要求し、単一のトークンの権限ではなく、NFTが盗まれるリスクを増加させる。5. 価格操作:NFTの価格は特定の契約トークンの保有量に依存し、フラッシュローンによって操作される可能性があります。総じて、NFT契約のセキュリティ事件の頻発は、専門的なセキュリティ監査の重要性を反映しています。プロジェクト側は契約のセキュリティを重視し、潜在的なリスクを防ぐために専門監査を求めるべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFTコントラクトの脆弱性は頻繁に発生し、2022年上半期には6,490万ドルの損失を出しました
NFTコントラクトのセキュリティ:2022年上半期のイベントレビューと監査FAQ分析
2022年上半期、NFT分野では安全事件が頻発し、巨大な経済損失を引き起こしました。データプラットフォームの監視によると、合計で10件の主要な安全事件が発生し、損失は約6490万ドルに達しました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。一方、Discordのフィッシング事件はほぼ毎日発生し、個人ユーザーは頻繁に損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約のbuyItem関数のロジックの混乱から生じ、トークンの種類を判断せずに価格を直接計算したため、0 ERC-20トークンでNFTを購入できることになりました。これはERC-1155とERC-721トークンの混用時に発生する可能性のあるロジックの問題を反映しています。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを通じて6万以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約は、balanceOf()を通じてNFTの所有権を判断するだけであり、この方法はフラッシュローンによって操作されやすいです。
Revest Financeイベント
2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。脆弱性はERC-1155の再入攻撃に起因し、契約は新しいFNFTを鋳造する際に既に存在するかどうかを判断せず、状態変数が_mint()の後に自増するため、再入脆弱性が生じました。
NBAハウヤンモウ事件
2022年4月21日,NBAプロジェクトが攻撃を受けました。The_Association_Sales契約は、検証ホワイトリストの際に署名の偽造と再利用の問題があり、使用済みの署名が保存されておらず、msg.senderの検証が行われていませんでした。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、1.15万ETHがロックされました。主に2つの論理的な問題が存在します: 返金関数が悪意によって中断される可能性があること; ユーザーが複数回入札する場合が考慮されておらず、返金が実行できないことです。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃を受けて3087ETHを失いました。XNFT契約は、NFTをステーキングする際にxTokenアドレスをチェックせず、貸出時に担保記録の状態を検出しなかったため、攻撃者は無効な担保を繰り返し使用して貸出を行うことができました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの悪用と再利用: 繰り返し実行の検証が欠如; サインチェックが不合理。
論理的欠陥: 管理者は総発行量の制限を突破してコインを鋳造できる; オークション時に取引順序依存攻撃が存在する。
ERC721/ERC1155 リエントランシー攻撃:転送通知機能の使用時にリエントランシーが発生する場合があります。
権限の範囲が広すぎる: グローバルな権限を要求し、単一のトークンの権限ではなく、NFTが盗まれるリスクを増加させる。
価格操作:NFTの価格は特定の契約トークンの保有量に依存し、フラッシュローンによって操作される可能性があります。
総じて、NFT契約のセキュリティ事件の頻発は、専門的なセキュリティ監査の重要性を反映しています。プロジェクト側は契約のセキュリティを重視し、潜在的なリスクを防ぐために専門監査を求めるべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)