# NFT契約の安全性:2022年上半期の事件の振り返りとよくある質問の分析2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の経済損失を引き起こしました。データプラットフォームの統計によると、この期間中に主要なNFTセキュリティ事件が10件発生し、約6490万ドルの損失がありました。攻撃手段は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でも、Discordプラットフォーム上でのフィッシング攻撃が特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーが頻繁に損失を被っています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件の振り返り### TreasureDAOイベント2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。原因は契約に論理的な脆弱性があり、ERC-1155とERC-721トークンを区別して処理していなかったため、攻撃者がゼロコストでNFTを購入できる状態になってしまったためです。### APE Coinエアドロップイベント2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。脆弱性は、エアドロップ契約がユーザーの現在のNFT保有状況のみを確認し、フラッシュローンによる瞬時の状態変化を考慮していなかったことにあります。### Revest Financeイベント2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。原因はERC-1155トークンの再入可能性の脆弱性で、契約が新しいNFTを鋳造する際に十分なチェックを行っていなかったためです。### NBAプロジェクトイベント2022年4月21日、NBA関連のNFTプロジェクトが攻撃を受けました。問題は署名検証メカニズムにあり、署名の不正使用や再利用の危険性が存在します。### Akutarイベント 2022年4月23日、Akutarプロジェクトは契約ロジックの脆弱性により、1.15万ETH(約3400万ドル)がロックされました。主な原因は、返金関数の設計が不適切で、ユーザーの複数回の入札の状況を考慮していなかったことです。### XCarnival イベント2022年6月24日、NFT貸出プロトコルXCarnivalが攻撃を受け、3087 ETH(の損失、約380万ドル)。脆弱性は、ステーキングと貸出のロジックに欠陥があり、担保と貸出の状態の十分な検証が行われていなかったことにあります。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFT契約の一般的なセキュリティ問題1. 署名メカニズムの欠陥: 署名の再利用と偽造の問題を含む。2. ロジックの欠陥: 例えば、コインの発行量の管理が不適切である場合や、入札の欠陥など。3. ERC721/ERC1155再入攻撃: 転送通知で再入が引き起こされる可能性があります。4. 権限の範囲が広すぎる: 不必要なグローバル権限は資産の盗難リスクを増加させる。5. 価格操作: 外部データソースに依存することは異常な清算を引き起こす可能性があります。これらの問題は実際の攻撃において頻繁に見られ、NFTプロジェクトが包括的なセキュリティ監査を行う重要性を浮き彫りにしています。開発者は契約の安全性を重視し、専門機関に監査を依頼して潜在的なリスクを防ぐべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
NFTコントラクトのセキュリティ警鐘:2022年上半期の6,490万ドルの損失と一般的な脆弱性の分析
NFT契約の安全性:2022年上半期の事件の振り返りとよくある質問の分析
2022年上半期、NFT分野でのセキュリティ事件が頻発し、巨額の経済損失を引き起こしました。データプラットフォームの統計によると、この期間中に主要なNFTセキュリティ事件が10件発生し、約6490万ドルの損失がありました。攻撃手段は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどです。その中でも、Discordプラットフォーム上でのフィッシング攻撃が特に横行しており、ほぼ毎日サーバーが攻撃を受け、ユーザーが頻繁に損失を被っています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
2022年3月3日、TreasureDAO取引プラットフォームがハッキングされ、100以上のNFTが盗まれました。原因は契約に論理的な脆弱性があり、ERC-1155とERC-721トークンを区別して処理していなかったため、攻撃者がゼロコストでNFTを購入できる状態になってしまったためです。
APE Coinエアドロップイベント
2022年3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPE Coinエアドロップを取得しました。脆弱性は、エアドロップ契約がユーザーの現在のNFT保有状況のみを確認し、フラッシュローンによる瞬時の状態変化を考慮していなかったことにあります。
Revest Financeイベント
2022年3月27日、Revest Financeが攻撃を受け、12万ドルの損失を被りました。原因はERC-1155トークンの再入可能性の脆弱性で、契約が新しいNFTを鋳造する際に十分なチェックを行っていなかったためです。
NBAプロジェクトイベント
2022年4月21日、NBA関連のNFTプロジェクトが攻撃を受けました。問題は署名検証メカニズムにあり、署名の不正使用や再利用の危険性が存在します。
Akutarイベント
2022年4月23日、Akutarプロジェクトは契約ロジックの脆弱性により、1.15万ETH(約3400万ドル)がロックされました。主な原因は、返金関数の設計が不適切で、ユーザーの複数回の入札の状況を考慮していなかったことです。
XCarnival イベント
2022年6月24日、NFT貸出プロトコルXCarnivalが攻撃を受け、3087 ETH(の損失、約380万ドル)。脆弱性は、ステーキングと貸出のロジックに欠陥があり、担保と貸出の状態の十分な検証が行われていなかったことにあります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約の一般的なセキュリティ問題
署名メカニズムの欠陥: 署名の再利用と偽造の問題を含む。
ロジックの欠陥: 例えば、コインの発行量の管理が不適切である場合や、入札の欠陥など。
ERC721/ERC1155再入攻撃: 転送通知で再入が引き起こされる可能性があります。
権限の範囲が広すぎる: 不必要なグローバル権限は資産の盗難リスクを増加させる。
価格操作: 外部データソースに依存することは異常な清算を引き起こす可能性があります。
これらの問題は実際の攻撃において頻繁に見られ、NFTプロジェクトが包括的なセキュリティ監査を行う重要性を浮き彫りにしています。開発者は契約の安全性を重視し、専門機関に監査を依頼して潜在的なリスクを防ぐべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)