# NFTコントラクトのセキュリティ:2022年上半期のイベント分析とFAQディスカッション2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。本稿では、この期間のNFT契約のセキュリティ状況について深く分析し、典型的なケースや一般的な問題について考察します。## 上半期のNFTセキュリティ事件の概況ブロックチェーンのセキュリティ監視データによると、2022年上半期には合計で10件の重大なNFTセキュリティ事件が発生し、累積損失は約6490万ドルに上ります。主な攻撃手法には、契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。特に注意すべきは、Discordプラットフォームにおけるフィッシング攻撃が非常に蔓延しており、ほぼ毎日ユーザーがこれにより損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の分析### TreasureDAOイベント2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性の原因: コントラクトロジックの混乱。TreasureMarketplaceBuyerコントラクトのbuyItem関数はトークンタイプの判断を行っておらず、ERC-20トークンの支払い額が0の場合でもNFTを購入できる状態になっています。これはERC-1155とERC-721トークンが混用されており、数量の概念がないERC-721に対して特別な処理が行われていないためです。### APE Coinエアドロップイベント2022年3月17日、ハッカーがフラッシュローンを通じて6万枚以上のAPE Coinのエアドロップを取得しました。脆弱性の原因: コントラクトの論理的欠陥。エアドロップコントラクトは、balanceOf()を通じてのみユーザーのNFTに対する所有権を判断しますが、これは瞬間的な状態しか取得できず、フラッシュローンによって操作される可能性があります。### Revest Financeイベント2022年3月27日、Revest Financeがハッキングされ、12万ドルの損失を被りました。脆弱性の原因: ERC-1155の再入攻撃。Revestコントラクトは、FNFT担保資産を追加する際に再入脆弱性が存在し、これはミント関数内の外部呼び出しに起因しています。### NBAのハウヤンモー事件2022年4月21日、NBAプロジェクトがハッキングされました。脆弱性の原因:署名検証の欠陥。The_Association_Salesコントラクトはホワイトリスト検証時に署名の使い回しと不正使用の問題が存在します。### Akutarイベント2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により1.1万ETHがロックされました。脆弱性の原因: 返金ロジックの欠陥。返金関数には悪意のある妨害のリスクがあり、ユーザーの複数回の入札状況が考慮されていないため、返金が実行できません。### XCarnival イベント2022年6月24日、XCarnivalが攻撃を受け、380万ドルの損失を被りました。脆弱性の原因:担保記録の検証が不十分。XNFTコントラクトは、質入れと貸付時に十分なチェックを行わず、無効な担保記録を再利用可能にしてしまった。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約の一般的なセキュリティ問題1. サイン検証の問題: 繰り返し実行検証が欠如しており、サインチェックが厳格ではない。2. ロジックの欠陥: コインの発行制限が不適切で、入札プロセスに欠陥が存在する。3. ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。4. 過度な権限付与: グローバルな権限を要求するが、実際には単一のトークンの権限のみが必要。5. 価格操作: 価格はフラッシュローンによって操作される要因に依存しています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)以上のことから、NFT契約の安全問題は複雑で多様であり、専門的な監査が特に重要であることがわかります。プロジェクトチームは契約の安全性を重視し、潜在的なリスクを包括的に評価し、ユーザーの資産の安全を確保するべきです。
NFT契約のセキュリティ分析:2022年上半期の典型的な事件と一般的な脆弱性についての考察
NFTコントラクトのセキュリティ:2022年上半期のイベント分析とFAQディスカッション
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の損失を引き起こしました。本稿では、この期間のNFT契約のセキュリティ状況について深く分析し、典型的なケースや一般的な問題について考察します。
上半期のNFTセキュリティ事件の概況
ブロックチェーンのセキュリティ監視データによると、2022年上半期には合計で10件の重大なNFTセキュリティ事件が発生し、累積損失は約6490万ドルに上ります。主な攻撃手法には、契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。特に注意すべきは、Discordプラットフォームにおけるフィッシング攻撃が非常に蔓延しており、ほぼ毎日ユーザーがこれにより損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の分析
TreasureDAOイベント
2022年3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。
脆弱性の原因: コントラクトロジックの混乱。TreasureMarketplaceBuyerコントラクトのbuyItem関数はトークンタイプの判断を行っておらず、ERC-20トークンの支払い額が0の場合でもNFTを購入できる状態になっています。これはERC-1155とERC-721トークンが混用されており、数量の概念がないERC-721に対して特別な処理が行われていないためです。
APE Coinエアドロップイベント
2022年3月17日、ハッカーがフラッシュローンを通じて6万枚以上のAPE Coinのエアドロップを取得しました。
脆弱性の原因: コントラクトの論理的欠陥。エアドロップコントラクトは、balanceOf()を通じてのみユーザーのNFTに対する所有権を判断しますが、これは瞬間的な状態しか取得できず、フラッシュローンによって操作される可能性があります。
Revest Financeイベント
2022年3月27日、Revest Financeがハッキングされ、12万ドルの損失を被りました。
脆弱性の原因: ERC-1155の再入攻撃。Revestコントラクトは、FNFT担保資産を追加する際に再入脆弱性が存在し、これはミント関数内の外部呼び出しに起因しています。
NBAのハウヤンモー事件
2022年4月21日、NBAプロジェクトがハッキングされました。
脆弱性の原因:署名検証の欠陥。The_Association_Salesコントラクトはホワイトリスト検証時に署名の使い回しと不正使用の問題が存在します。
Akutarイベント
2022年4月23日、AkutarプロジェクトのAkuAuction契約の脆弱性により1.1万ETHがロックされました。
脆弱性の原因: 返金ロジックの欠陥。返金関数には悪意のある妨害のリスクがあり、ユーザーの複数回の入札状況が考慮されていないため、返金が実行できません。
XCarnival イベント
2022年6月24日、XCarnivalが攻撃を受け、380万ドルの損失を被りました。
脆弱性の原因:担保記録の検証が不十分。XNFTコントラクトは、質入れと貸付時に十分なチェックを行わず、無効な担保記録を再利用可能にしてしまった。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約の一般的なセキュリティ問題
サイン検証の問題: 繰り返し実行検証が欠如しており、サインチェックが厳格ではない。
ロジックの欠陥: コインの発行制限が不適切で、入札プロセスに欠陥が存在する。
ERC721/ERC1155リエントランシー攻撃:転送通知機能により、リエントラントが発生する可能性があります。
過度な権限付与: グローバルな権限を要求するが、実際には単一のトークンの権限のみが必要。
価格操作: 価格はフラッシュローンによって操作される要因に依存しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
以上のことから、NFT契約の安全問題は複雑で多様であり、専門的な監査が特に重要であることがわかります。プロジェクトチームは契約の安全性を重視し、潜在的なリスクを包括的に評価し、ユーザーの資産の安全を確保するべきです。