# NFTコントラクトのセキュリティ問題の分析と代表的なケースの解釈2022年上半期、NFT分野では多数のセキュリティ事件が発生し、約6490万ドルの損失が生じました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などの手法に関連しています。特に、Discordプラットフォーム上でのフィッシング事件が頻発しており、ほぼ毎日サーバーが攻撃を受け、個人ユーザーの損失が頻繁に発生しています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。この事件の根本的な原因は、契約に論理的な脆弱性があり、ERC-1155とERC-721トークンの混用が論理の混乱を引き起こしたことです。ERC-721トークンには数量の概念がありませんが、契約では数量を使用してトークンの購入価格を計算し、トークンの転送実装において論理的な分離が行われていませんでした。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。バグはエアドロップ契約にあり、契約は一時的な状態を使用してユーザーのNFTの所有権を判断していましたが、この状態はフラッシュローンで操作可能でした。### Revest Financeイベント2022年3月27日、Revest Financeプロジェクトが攻撃を受け、約12万ドルの損失が発生しました。これは典型的なERC-1155再入攻撃であり、契約は新しいFNFTを鋳造する際に既に存在するかどうかを判断せず、状態変数の自増が鋳造関数の後に実行されるため、再入脆弱性が発生しました。### NBAウールピッキング事件2022年4月21日、NBAプロジェクトが攻撃を受けました。脆弱性は署名の盗用と再利用の問題に関係しており、契約は使用済みの署名を保存しておらず、パラメータを送信する際に送信者の検証が行われていませんでした。### Akutarイベント2022年4月23日、Akutarプロジェクトはスマートコントラクトの脆弱性により1.1539万ETH(約3400万ドル)がロックされました。契約には2つの重要な論理的脆弱性が存在します:返金関数が悪意によって妨害される可能性があること、そしてユーザーが複数回入札する状況が考慮されていないことです。### XCarnival イベント2022年6月24日、XCarnivalが攻撃され、ハッカーは3087枚のイーサリアム(約380万ドル)を得ました。バグは、契約が質押されたNFTのxTokenアドレスがホワイトリストにあるかどうかを確認せず、貸出時に担保記録の状態を検査していなかったことにあります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクトの一般的なセキュリティ問題1. 署名のなりすましと再利用: - 繰り返し実行の検証が不足しています - サインチェックが不合理です2. ロジックの欠陥: - コインの総供給量が適切に管理されていない - オークションプロセスにおける取引順序は攻撃に依存する3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能が再入に繋がる可能性があります4. 権限範囲が広すぎる: - 不必要なグローバル権限はNFTの盗難を引き起こす可能性があります5.価格操作: - NFTの価格は操作可能な要因に依存しますこれらのセキュリティリスクを考慮すると、NFT契約に対する専門的なセキュリティ監査が極めて重要であり、潜在的な攻撃や脆弱性を効果的に防ぐことができます。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約のセキュリティリスクの分析:典型的なケースと防止策
NFTコントラクトのセキュリティ問題の分析と代表的なケースの解釈
2022年上半期、NFT分野では多数のセキュリティ事件が発生し、約6490万ドルの損失が生じました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などの手法に関連しています。特に、Discordプラットフォーム上でのフィッシング事件が頻発しており、ほぼ毎日サーバーが攻撃を受け、個人ユーザーの損失が頻繁に発生しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。この事件の根本的な原因は、契約に論理的な脆弱性があり、ERC-1155とERC-721トークンの混用が論理の混乱を引き起こしたことです。ERC-721トークンには数量の概念がありませんが、契約では数量を使用してトークンの購入価格を計算し、トークンの転送実装において論理的な分離が行われていませんでした。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。バグはエアドロップ契約にあり、契約は一時的な状態を使用してユーザーのNFTの所有権を判断していましたが、この状態はフラッシュローンで操作可能でした。
Revest Financeイベント
2022年3月27日、Revest Financeプロジェクトが攻撃を受け、約12万ドルの損失が発生しました。これは典型的なERC-1155再入攻撃であり、契約は新しいFNFTを鋳造する際に既に存在するかどうかを判断せず、状態変数の自増が鋳造関数の後に実行されるため、再入脆弱性が発生しました。
NBAウールピッキング事件
2022年4月21日、NBAプロジェクトが攻撃を受けました。脆弱性は署名の盗用と再利用の問題に関係しており、契約は使用済みの署名を保存しておらず、パラメータを送信する際に送信者の検証が行われていませんでした。
Akutarイベント
2022年4月23日、Akutarプロジェクトはスマートコントラクトの脆弱性により1.1539万ETH(約3400万ドル)がロックされました。契約には2つの重要な論理的脆弱性が存在します:返金関数が悪意によって妨害される可能性があること、そしてユーザーが複数回入札する状況が考慮されていないことです。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃され、ハッカーは3087枚のイーサリアム(約380万ドル)を得ました。バグは、契約が質押されたNFTのxTokenアドレスがホワイトリストにあるかどうかを確認せず、貸出時に担保記録の状態を検査していなかったことにあります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクトの一般的なセキュリティ問題
署名のなりすましと再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限範囲が広すぎる:
5.価格操作:
これらのセキュリティリスクを考慮すると、NFT契約に対する専門的なセキュリティ監査が極めて重要であり、潜在的な攻撃や脆弱性を効果的に防ぐことができます。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)