# NFT契約の安全問題分析と監査のポイント2022年上半期、NFT分野では多くの重大なセキュリティ事件が発生し、約6490万ドルの損失が生じました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などの手段に関係しています。特に、Discordプラットフォーム上でのフィッシング事件はほぼ毎日発生しており、大量の個人ユーザーが損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理エラーに起因し、攻撃者が支払いをせずにNFTを購入できるようになっています。この問題は主にERC-1155とERC-721トークンの混用による論理的混乱が原因です。### APE Coin エアドロップイベント3月17日、攻撃者はフラッシュローンを利用して6万枚以上のAPEコインのエアドロップを獲得しました。脆弱性はエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権のみをチェックしており、これがフラッシュローンによって操作可能でした。### Revest Financeイベント3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。これは典型的なERC-1155再入攻撃であり、新しいFNFTを鋳造する際の契約の論理的欠陥に起因しています。### NBA プロジェクト攻撃4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名確認メカニズムにあり、署名の悪用と再利用の脆弱性が存在しています。### Akutar イベント4月23日、Akutarプロジェクトのスマートコントラクトの脆弱性により、約3400万ドルの資産がロックされました。これは、コントラクト内の返金関数に論理的欠陥があり、ユーザーが複数のNFTに入札する可能性を考慮していなかったためです。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。脆弱性はXNFT契約内のステーキングおよび貸出機能に必要なセキュリティチェックが欠如していることにあります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. 署名のなりすましと再利用: - 繰り返し実行の検証が不足しています - サインチェックが不合理です2. ロジックの脆弱性: - コインの総供給量の管理が不適切 - オークションプロセスにおける取引の順序は攻撃に依存する3. ERC721 &ERC1155 リエントランシー攻撃: - 転送通知機能は再入を引き起こす可能性があります4. 権限の範囲が広すぎる: - 不必要なグローバル権限は NFT の盗難を引き起こす可能性があります5.価格操作: - NFTの価格は外部要因に依存しており、操作されやすい。これらの安全問題の存在は、NFT契約の包括的かつ専門的な監査の重要性を浮き彫りにしています。プロジェクト関係者は契約の安全性を重視し、専門的な安全監査を通じて潜在的なリスクを回避し、ユーザーの資産の安全を守るべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約のセキュリティ事件が頻発しており、リスクを防ぐための6つの監査ポイント
NFT契約の安全問題分析と監査のポイント
2022年上半期、NFT分野では多くの重大なセキュリティ事件が発生し、約6490万ドルの損失が生じました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などの手段に関係しています。特に、Discordプラットフォーム上でのフィッシング事件はほぼ毎日発生しており、大量の個人ユーザーが損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyer契約の論理エラーに起因し、攻撃者が支払いをせずにNFTを購入できるようになっています。この問題は主にERC-1155とERC-721トークンの混用による論理的混乱が原因です。
APE Coin エアドロップイベント
3月17日、攻撃者はフラッシュローンを利用して6万枚以上のAPEコインのエアドロップを獲得しました。脆弱性はエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権のみをチェックしており、これがフラッシュローンによって操作可能でした。
Revest Financeイベント
3月27日、Revest Financeは攻撃を受け、約12万ドルを失いました。これは典型的なERC-1155再入攻撃であり、新しいFNFTを鋳造する際の契約の論理的欠陥に起因しています。
NBA プロジェクト攻撃
4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名確認メカニズムにあり、署名の悪用と再利用の脆弱性が存在しています。
Akutar イベント
4月23日、Akutarプロジェクトのスマートコントラクトの脆弱性により、約3400万ドルの資産がロックされました。これは、コントラクト内の返金関数に論理的欠陥があり、ユーザーが複数のNFTに入札する可能性を考慮していなかったためです。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。脆弱性はXNFT契約内のステーキングおよび貸出機能に必要なセキュリティチェックが欠如していることにあります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
署名のなりすましと再利用:
ロジックの脆弱性:
ERC721 &ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
これらの安全問題の存在は、NFT契約の包括的かつ専門的な監査の重要性を浮き彫りにしています。プロジェクト関係者は契約の安全性を重視し、専門的な安全監査を通じて潜在的なリスクを回避し、ユーザーの資産の安全を守るべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)