# NFTコントラクトのセキュリティ:上半期のイベントの分析と一般的な問題の議論2022年上半期、NFT分野では安全事件が頻発し、大きな損失を引き起こしました。データプラットフォームの監視によると、主要な安全事件は合計10件発生し、損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でも、Discordプラットフォーム上のフィッシング攻撃は特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーが頻繁に損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトの論理的な問題に起因しています。このコントラクトはERC-1155とERC-721トークンを区別せず、0トークンの支払いでNFTを購入できることを許可しました。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約は、即時状態を使用してユーザーのBAYC/MAYC NFTの所有権を判断し、攻撃者によってフラッシュローンを操作されました。### Revest Financeイベント2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。脆弱性はERC-1155の再入攻撃にあり、契約が新しいFNFTをミントする際に状態変数を正しく処理しなかったため、再入脆弱性が発生しました。### NBAのハウヤンモー事件2022年4月21日、NBAプロジェクトがハッキングされた。The_Association_Sales契約はホワイトリスト検証時に署名の盗用と再利用の問題があり、使用済みの署名の記録とmsg.senderの検証が行われていなかった。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、11539ETH(約3400万ドル)がロックされました。契約には返金ロジックの問題があり、ユーザーの複数回の入札状況が考慮されていないため、返金操作が実行できませんでした。### XCarnival イベント2022年6月24日、XCarnivalが攻撃を受け、3087枚のイーサリアム(約380万ドル)を失いました。XNFT契約は、NFTをステーキングする際にxTokenアドレスの妥当性をチェックせず、借入時に担保記録の状態を検証していませんでした。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約に関するよくある質問1. 署名の使い回しと再利用: - 繰り返し実行の検証が不足しています - 署名チェックが厳格ではない2. ロジックの欠陥: - コイン総量の管理が不適切 - オークションプロセス中の取引順序は攻撃に依存しています3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能は再入可能性を引き起こす可能性があります4. 権限の範囲が広すぎる: - 過度な権限を要求し、NFTの盗難リスクを増加させる5.価格操作: - NFT価格は操作されやすい要因に依存していますNFT契約の安全性に関する事件が頻発しているため、専門的な安全監査が特に重要です。プロジェクトチームは契約の安全性を重視し、専門機関による包括的な監査を求めて、安全リスクを低減する必要があります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約の安全上のリスクが頻発 上半期に6500万ドル近くの損失
NFTコントラクトのセキュリティ:上半期のイベントの分析と一般的な問題の議論
2022年上半期、NFT分野では安全事件が頻発し、大きな損失を引き起こしました。データプラットフォームの監視によると、主要な安全事件は合計10件発生し、損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でも、Discordプラットフォーム上のフィッシング攻撃は特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーが頻繁に損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトの論理的な問題に起因しています。このコントラクトはERC-1155とERC-721トークンを区別せず、0トークンの支払いでNFTを購入できることを許可しました。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約は、即時状態を使用してユーザーのBAYC/MAYC NFTの所有権を判断し、攻撃者によってフラッシュローンを操作されました。
Revest Financeイベント
2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。脆弱性はERC-1155の再入攻撃にあり、契約が新しいFNFTをミントする際に状態変数を正しく処理しなかったため、再入脆弱性が発生しました。
NBAのハウヤンモー事件
2022年4月21日、NBAプロジェクトがハッキングされた。The_Association_Sales契約はホワイトリスト検証時に署名の盗用と再利用の問題があり、使用済みの署名の記録とmsg.senderの検証が行われていなかった。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により、11539ETH(約3400万ドル)がロックされました。契約には返金ロジックの問題があり、ユーザーの複数回の入札状況が考慮されていないため、返金操作が実行できませんでした。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃を受け、3087枚のイーサリアム(約380万ドル)を失いました。XNFT契約は、NFTをステーキングする際にxTokenアドレスの妥当性をチェックせず、借入時に担保記録の状態を検証していませんでした。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約に関するよくある質問
署名の使い回しと再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
NFT契約の安全性に関する事件が頻発しているため、専門的な安全監査が特に重要です。プロジェクトチームは契約の安全性を重視し、専門機関による包括的な監査を求めて、安全リスクを低減する必要があります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)