# NFT契約の安全監査: よくある質問と典型的なケーススタディ2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の経済損失をもたらしました。データプラットフォームの監視によると、主なセキュリティ事件は合計10件発生し、損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーが頻繁に損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 上半期のNFTの典型的なセキュリティ事件分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。事件の根本原因は、契約内の論理的な脆弱性であり、ERC-1155とERC-721トークンの混用が論理的混乱を引き起こしました。契約はトークンの購入価格を計算する際に、ERC-721トークンの数量の概念を誤って使用し、トークンの転送実装において論理的な分離を行っていませんでした。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。バグはエアドロップ契約に存在し、NFTの所有権をinstant balanceでのみ確認しており、この状態はフラッシュローンによって操作可能です。### Revest Financeイベント2022年3月27日、Revest Financeがハッキングされ、約12万ドルの損失を被りました。原因はERC-1155の再入攻撃の脆弱性で、新しいFNFTをミントする際に存在の有無が判断されず、状態変数の自増加がミント関数の後に行われたため、再入攻撃が可能となりました。### NBA NFTプロジェクトイベント2022年4月21日、NBA関連のNFTプロジェクトが攻撃されました。問題はホワイトリスト検証の署名確認段階にあり、署名の使い回しと偽造の2つのセキュリティリスクが存在しています。契約は使用済みの署名を保存しておらず、引数を渡す際にmsg.senderの検証を行っていませんでした。### Akutarイベント2022年4月23日、Akutarプロジェクトは契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主に2つの論理的問題が存在します: 返金関数が悪意によって中断される可能性; ユーザーの複数回入札の状況を考慮していないため、返金が永遠に実行できないこと。### XCarnival イベント2022年6月24日、NFT借貸協議XCarnivalが攻撃され、約380万ドルの損失が発生しました。脆弱性は、NFTを担保にする際にxTokenアドレスが検証されず、借貸時に担保記録の状態が確認されなかったため、攻撃者が無効な担保を繰り返し使用して借貸できるというものでした。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約監査のよくある質問1. サインの盗用と再利用: - 繰り返し実行検証が不足しています。ユーザーのnonceのように。 - サインチェックが厳密ではなく、ゼロアドレスの状況が確認されていない2. ロジックの欠陥: - 特殊なコイン鋳造方法が総量制限を回避する - オークション時に取引順序依存攻撃のリスクが存在します3. ERC721/ERC1155 リエントランシー攻撃: - 送金通知機能は再入を引き起こす可能性があります4. 権限の範囲が広すぎる: - 個別トークンの承認ではなく、全体の承認を要求します5.価格操作: - NFTの価格は外部契約の状態に依存しており、フラッシュローンによって操作されやすい。NFT契約のセキュリティ事件が頻発していることを考慮し、監査で発見された一般的な脆弱性が実際の攻撃と高度に一致することが多いため、プロジェクトチームは契約の安全性を重視し、専門的な監査サービスを求めて、安全リスクを低減すべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFT契約のセキュリティ事件が頻発する 6つの典型的なケースと一般的な脆弱性の分析
NFT契約の安全監査: よくある質問と典型的なケーススタディ
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の経済損失をもたらしました。データプラットフォームの監視によると、主なセキュリティ事件は合計10件発生し、損失は約6490万ドルに上ります。攻撃手法は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーが頻繁に損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
上半期のNFTの典型的なセキュリティ事件分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。事件の根本原因は、契約内の論理的な脆弱性であり、ERC-1155とERC-721トークンの混用が論理的混乱を引き起こしました。契約はトークンの購入価格を計算する際に、ERC-721トークンの数量の概念を誤って使用し、トークンの転送実装において論理的な分離を行っていませんでした。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。バグはエアドロップ契約に存在し、NFTの所有権をinstant balanceでのみ確認しており、この状態はフラッシュローンによって操作可能です。
Revest Financeイベント
2022年3月27日、Revest Financeがハッキングされ、約12万ドルの損失を被りました。原因はERC-1155の再入攻撃の脆弱性で、新しいFNFTをミントする際に存在の有無が判断されず、状態変数の自増加がミント関数の後に行われたため、再入攻撃が可能となりました。
NBA NFTプロジェクトイベント
2022年4月21日、NBA関連のNFTプロジェクトが攻撃されました。問題はホワイトリスト検証の署名確認段階にあり、署名の使い回しと偽造の2つのセキュリティリスクが存在しています。契約は使用済みの署名を保存しておらず、引数を渡す際にmsg.senderの検証を行っていませんでした。
Akutarイベント
2022年4月23日、Akutarプロジェクトは契約の脆弱性により1.15万ETH(約3400万ドル)がロックされました。主に2つの論理的問題が存在します: 返金関数が悪意によって中断される可能性; ユーザーの複数回入札の状況を考慮していないため、返金が永遠に実行できないこと。
XCarnival イベント
2022年6月24日、NFT借貸協議XCarnivalが攻撃され、約380万ドルの損失が発生しました。脆弱性は、NFTを担保にする際にxTokenアドレスが検証されず、借貸時に担保記録の状態が確認されなかったため、攻撃者が無効な担保を繰り返し使用して借貸できるというものでした。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約監査のよくある質問
サインの盗用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
NFT契約のセキュリティ事件が頻発していることを考慮し、監査で発見された一般的な脆弱性が実際の攻撃と高度に一致することが多いため、プロジェクトチームは契約の安全性を重視し、専門的な監査サービスを求めて、安全リスクを低減すべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)