# NFT契約のセキュリティ問題の分析と監査の提案2022年上半期、NFT分野では多くの重大なセキュリティ事件が発生し、巨額の経済損失を引き起こしました。データプラットフォームの監視によると、主要なセキュリティ事件は10件あり、損失は約6490万ドルです。攻撃手段は主に契約の脆弱性を利用したもの、秘密鍵の漏洩、フィッシングなどです。同時に、Discordプラットフォーム上でのフィッシング攻撃も非常に横行しており、ほぼ毎日ユーザーが悪意のあるリンクをクリックしたために損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。原因は契約にロジックの脆弱性があり、ERC-1155とERC-721トークンの混用による計算ミスが発生し、攻撃者がゼロコストでNFTを購入できるようになったためです。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して60,000枚以上のAPE Coinエアドロップを取得しました。バグは、エアドロップ契約が呼び出し元のNFTに対する瞬時の所有権のみをチェックしており、これがフラッシュローンによって操作できることにあります。### Revest Financeイベント2022年3月27日、Revest Financeが攻撃を受け12万ドルの損失を被りました。原因は契約にERC-1155の再入可能性の脆弱性が存在し、攻撃者はミントプロセス中に関連する関数を繰り返し呼び出すことができるためです。### NBAプロジェクト攻撃事件2022年4月21日、NBAプロジェクトがハッキングされました。契約はホワイトリストの検証時に署名の偽造と再利用の問題があり、使用された署名の記録と検証が行われていませんでした。### Akutarイベント2022年4月23日、Akutarプロジェクトは契約論理の脆弱性により3400万ドルの資産がロックされました。返金機能の設計が不適切であり、ユーザーによる複数回の入札を考慮していませんでした。### XCarnival イベント2022年6月24日、XCarnivalは攻撃を受け、約380万ドルの損失を被りました。その原因は、契約がステーキングと貸付の過程で必要なセキュリティチェックを欠いていたためです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクトの一般的な監査問題1. サインの偽造と再利用:繰り返し実行の検証が不足しており、サインのチェックが不合理です。2. 論理的欠陥:管理者の権限が過大で、オークションプロセスに欠陥が存在する。3. ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。4. 権限の範囲が広すぎる:ユーザーが過剰な権限を与えることでNFTが盗まれる可能性があります。5. 価格操作:NFTの価格は外部要因に依存しており、操作されやすい。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)## まとめNFT契約の安全事件が頻発している主な理由は、包括的なセキュリティ監査が不足していることです。プロジェクトチームは契約の安全性を重視し、専門のセキュリティ会社に監査を依頼して、潜在的なリスクを防ぎ、ユーザー資産の安全を守るべきです。
NFT契約の安全上のリスクが頻発しており、監査が重要な防線となっている。
NFT契約のセキュリティ問題の分析と監査の提案
2022年上半期、NFT分野では多くの重大なセキュリティ事件が発生し、巨額の経済損失を引き起こしました。データプラットフォームの監視によると、主要なセキュリティ事件は10件あり、損失は約6490万ドルです。攻撃手段は主に契約の脆弱性を利用したもの、秘密鍵の漏洩、フィッシングなどです。同時に、Discordプラットフォーム上でのフィッシング攻撃も非常に横行しており、ほぼ毎日ユーザーが悪意のあるリンクをクリックしたために損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。原因は契約にロジックの脆弱性があり、ERC-1155とERC-721トークンの混用による計算ミスが発生し、攻撃者がゼロコストでNFTを購入できるようになったためです。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して60,000枚以上のAPE Coinエアドロップを取得しました。バグは、エアドロップ契約が呼び出し元のNFTに対する瞬時の所有権のみをチェックしており、これがフラッシュローンによって操作できることにあります。
Revest Financeイベント
2022年3月27日、Revest Financeが攻撃を受け12万ドルの損失を被りました。原因は契約にERC-1155の再入可能性の脆弱性が存在し、攻撃者はミントプロセス中に関連する関数を繰り返し呼び出すことができるためです。
NBAプロジェクト攻撃事件
2022年4月21日、NBAプロジェクトがハッキングされました。契約はホワイトリストの検証時に署名の偽造と再利用の問題があり、使用された署名の記録と検証が行われていませんでした。
Akutarイベント
2022年4月23日、Akutarプロジェクトは契約論理の脆弱性により3400万ドルの資産がロックされました。返金機能の設計が不適切であり、ユーザーによる複数回の入札を考慮していませんでした。
XCarnival イベント
2022年6月24日、XCarnivalは攻撃を受け、約380万ドルの損失を被りました。その原因は、契約がステーキングと貸付の過程で必要なセキュリティチェックを欠いていたためです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクトの一般的な監査問題
サインの偽造と再利用:繰り返し実行の検証が不足しており、サインのチェックが不合理です。
論理的欠陥:管理者の権限が過大で、オークションプロセスに欠陥が存在する。
ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。
権限の範囲が広すぎる:ユーザーが過剰な権限を与えることでNFTが盗まれる可能性があります。
価格操作:NFTの価格は外部要因に依存しており、操作されやすい。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
まとめ
NFT契約の安全事件が頻発している主な理由は、包括的なセキュリティ監査が不足していることです。プロジェクトチームは契約の安全性を重視し、専門のセキュリティ会社に監査を依頼して、潜在的なリスクを防ぎ、ユーザー資産の安全を守るべきです。