# NFTコントラクトのセキュリティ監査:よくある質問と典型的なケース分析2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨大な経済損失を引き起こしました。統計によると、主なセキュリティ事件は合計で10件あり、約6490万ドルの損失をもたらしました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。その中でも、Discordプラットフォーム上でのフィッシング攻撃が特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーの資産が損失しています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームが攻撃され、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判断を行わずに総価格を計算したため、0トークンの支払いでNFTを購入できる状況が生じました。これはERC-1155とERC-721トークンの混用による論理混乱が原因です。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約はbalanceOf()を使用してBAYC/MAYC NFTの所有権を判断しますが、これは瞬時の状態しか取得できず、フラッシュローンによって操作されました。### Revest Financeイベント2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。これは典型的なERC-1155の再入攻撃であり、契約が新しいFNFTをミントする際に既に存在するかどうかを判断せず、状態変数が_mint()関数の後にインクリメントされることに起因しています。### NBAウールピッキング事件2022年4月21日,NBAプロジェクトが攻撃を受けました。The_Association_Sales契約は、検証ホワイトリスト時に署名の偽造と再利用の問題があり、使用済みの署名が保存されておらず、msg.senderの検証が欠けていました。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により11539 ETH(約3400万ドル)がロックされました。主な問題は返金関数のロジックの欠陥とユーザーの複数回入札の状況を考慮していないことです。### XCarnival イベント2022年6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失が出ました。XNFT契約のpledgeAndBorrow関数はxTokenアドレスのホワイトリストと担保記録の状態を確認していなかったため、攻撃者が無効な担保記録を繰り返し利用して借り入れを行うことができました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクト監査のよくある質問1. サインの不正使用と再利用: - 繰り返し実行検証が不足しています。ユーザーnonceのように。 - 署名チェックが不合理です。ゼロアドレスの署名がチェックされていない場合2. ロジックの欠陥: - 管理者が総量制限を回避してコインを鋳造する - オークションには取引順序依存攻撃のリスクがあります3. ERC721/ERC1155 リエントランシー攻撃: - 転送通知機能が再入を引き起こす可能性があります4. 権限範囲が広すぎる: - グローバル権限を要求する、単一トークンの権限ではなく5.価格操作: - NFTの価格は外部契約トークンの保有量に依存し、フラッシュローンによって操作されやすい。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)NFT契約のセキュリティ事件が頻発しているため、プロジェクトチームは契約のセキュリティ監査を重視し、専門のセキュリティ会社を雇って包括的な検査を行い、安全リスクを低減する必要があります。
NFTコントラクトの頻繁なセキュリティインシデントと6,490万ドルの損失の背後にある教訓
NFTコントラクトのセキュリティ監査:よくある質問と典型的なケース分析
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨大な経済損失を引き起こしました。統計によると、主なセキュリティ事件は合計で10件あり、約6490万ドルの損失をもたらしました。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。その中でも、Discordプラットフォーム上でのフィッシング攻撃が特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーの資産が損失しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームが攻撃され、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数に存在し、トークンタイプの判断を行わずに総価格を計算したため、0トークンの支払いでNFTを購入できる状況が生じました。これはERC-1155とERC-721トークンの混用による論理混乱が原因です。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。AirdropGrapesTokenエアドロップ契約はbalanceOf()を使用してBAYC/MAYC NFTの所有権を判断しますが、これは瞬時の状態しか取得できず、フラッシュローンによって操作されました。
Revest Financeイベント
2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失が発生しました。これは典型的なERC-1155の再入攻撃であり、契約が新しいFNFTをミントする際に既に存在するかどうかを判断せず、状態変数が_mint()関数の後にインクリメントされることに起因しています。
NBAウールピッキング事件
2022年4月21日,NBAプロジェクトが攻撃を受けました。The_Association_Sales契約は、検証ホワイトリスト時に署名の偽造と再利用の問題があり、使用済みの署名が保存されておらず、msg.senderの検証が欠けていました。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により11539 ETH(約3400万ドル)がロックされました。主な問題は返金関数のロジックの欠陥とユーザーの複数回入札の状況を考慮していないことです。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃を受け、3087 ETH(約380万ドル)の損失が出ました。XNFT契約のpledgeAndBorrow関数はxTokenアドレスのホワイトリストと担保記録の状態を確認していなかったため、攻撃者が無効な担保記録を繰り返し利用して借り入れを行うことができました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクト監査のよくある質問
サインの不正使用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限範囲が広すぎる:
5.価格操作:
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約のセキュリティ事件が頻発しているため、プロジェクトチームは契約のセキュリティ監査を重視し、専門のセキュリティ会社を雇って包括的な検査を行い、安全リスクを低減する必要があります。