# NFTコントラクトのセキュリティ分析:2022年上半期のイベントレビューとFAQディスカッション2022年上半期、NFT分野の安全状況は厳しい。データによると、合計10件の主要な安全事件が発生し、約6490万ドルの損失をもたらした。攻撃手段は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどである。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーは頻繁に損失を被っている。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件分析### TreasureDAOイベント3月3日、TreasureDAO取引所が攻撃され、100以上のNFTが盗まれました。原因はERC-1155とERC-721トークンの混用による論理的な脆弱性です。契約はトークンの購入を処理する際にトークンの種類を区別せず、攻撃者はERC-20トークンを利用してゼロコストでNFTを購入することができました。### APE Coinエアドロップイベント3月17日、ハッカーはフラッシュローンを通じて6万枚以上のAPE Coinエアドロップを取得しました。この脆弱性は、エアドロップ契約がNFTの所有権を瞬時に判断することに起因しており、フラッシュローンによって操作される可能性があります。### Revest Financeイベント3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。これは典型的なERC-1155再入攻撃であり、契約が新しいFNFTを鋳造する際に状態更新の順序を正しく処理しなかったためです。### NBAのヒツジの毛を刈る事件4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名メカニズムにあり、署名の不正使用と再利用という二つの主要な脆弱性が存在します。### Akutarイベント4月23日、Akutarプロジェクトは契約の脆弱性により11539 ETH(約3400万ドル)がロックされました。主な問題は、払い戻し関数の設計上の欠陥と、ユーザーの複数回の入札を考慮していなかったことです。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失を被りました。脆弱性は、NFTをステーキングする際にxTokenアドレスの合法性を検証せず、貸借時に担保記録の状態を確認しなかったことにあります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約の一般的なセキュリティ問題1. サインの冒用と再利用: - 繰り返し実行の検証が不足しています - サインチェックのロジックが厳密でない2. ロジックの欠陥: - コインの総供給量の管理が不適切 - オークションプロセスにおける取引の順序は攻撃に依存する3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能は再入を引き起こす可能性があります4. 権限の範囲が広すぎる: - 不要なグローバル権限はNFTの盗難リスクを高める5.価格操作: - NFTの価格は外部要因に依存し、フラッシュローンなどの手段の影響を受けやすいNFT契約の複雑さと潜在的なリスクを考慮すると、可能なセキュリティリスクを防ぐために、専門のセキュリティ会社に包括的な監査を依頼することが重要です。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約の安全リスク分析:2022年上半期6490万ドルの損失に隠された教訓
NFTコントラクトのセキュリティ分析:2022年上半期のイベントレビューとFAQディスカッション
2022年上半期、NFT分野の安全状況は厳しい。データによると、合計10件の主要な安全事件が発生し、約6490万ドルの損失をもたらした。攻撃手段は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどである。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーは頻繁に損失を被っている。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件分析
TreasureDAOイベント
3月3日、TreasureDAO取引所が攻撃され、100以上のNFTが盗まれました。原因はERC-1155とERC-721トークンの混用による論理的な脆弱性です。契約はトークンの購入を処理する際にトークンの種類を区別せず、攻撃者はERC-20トークンを利用してゼロコストでNFTを購入することができました。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを通じて6万枚以上のAPE Coinエアドロップを取得しました。この脆弱性は、エアドロップ契約がNFTの所有権を瞬時に判断することに起因しており、フラッシュローンによって操作される可能性があります。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。これは典型的なERC-1155再入攻撃であり、契約が新しいFNFTを鋳造する際に状態更新の順序を正しく処理しなかったためです。
NBAのヒツジの毛を刈る事件
4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名メカニズムにあり、署名の不正使用と再利用という二つの主要な脆弱性が存在します。
Akutarイベント
4月23日、Akutarプロジェクトは契約の脆弱性により11539 ETH(約3400万ドル)がロックされました。主な問題は、払い戻し関数の設計上の欠陥と、ユーザーの複数回の入札を考慮していなかったことです。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失を被りました。脆弱性は、NFTをステーキングする際にxTokenアドレスの合法性を検証せず、貸借時に担保記録の状態を確認しなかったことにあります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約の一般的なセキュリティ問題
サインの冒用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
NFT契約の複雑さと潜在的なリスクを考慮すると、可能なセキュリティリスクを防ぐために、専門のセキュリティ会社に包括的な監査を依頼することが重要です。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)