# NFTコントラクト証券分析レポート:よくある質問と代表的なケース2022年上半期、NFT分野では複数の重大なセキュリティ事件が発生し、総損失は約6490万ドルに達しました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などによって引き起こされました。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーに頻繁な損失をもたらしています。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-f85923b3f0a55ae7230fc5950c904d1e)## 典型的なセキュリティ事件分析### TreasureDAOイベント3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。この事件の根本的な原因は、ERC-1155とERC-721トークンの混用によって引き起こされた論理的混乱です。契約はトークンの種類を区別せず、ERC-721に適用されない数量の概念を価格計算に誤って使用しました。### APE Coinエアドロップイベント3月17日、あるハッカーがフラッシュローンを利用して6万枚以上のAPEコインのエアドロップを取得しました。バグはエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権のみをチェックしており、これはフラッシュローンによって簡単に操作できます。### Revest Financeイベント3月27日、Revest Financeが攻撃を受け、約12万ドルの損失を被りました。これは典型的なERC-1155リ入攻撃のケースです。契約は新しいFNFTをミントする際に十分なチェックを行わなかったため、リ入脆弱性が発生しました。### NBAハウヤンモウ事件4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名メカニズムにあり、署名の悪用と再利用という2つの主要な問題が存在します。契約は使用済みの署名を保存しておらず、署名者に対して厳格な検証も行っていません。### Akutarイベント4月23日、Akutarプロジェクトは契約の脆弱性により3400万ドルの資産がロックされました。主な問題は、返金関数の論理的欠陥とユーザーの複数入札の状況を考慮していないことです。### XCarnival イベント6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。攻撃者は、NFTのステーキングと貸し出しプロセスにおける契約の論理的な脆弱性を利用し、無効な担保記録を繰り返し使用して貸し出しを行いました。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-1888562fb8639d0fb586b639d3e5eb87)## NFTコントラクトの一般的なセキュリティ問題1. 署名の悪用と再利用:繰り返し実行の検証と署名者の有効性チェックが欠如している。2. 論理的な脆弱性:例えば、管理者が総量制限を回避してコインを鋳造したり、オークションプロセス中の取引順序が依存攻撃にさらされることなど。3. ERC721/ERC1155リエントランシー攻撃:転送通知機能の使用時に発生することがあります。4. 過大な権限の範囲:ユーザーは特定の操作において過度な権限を要求される。5. 価格操作:NFTの価格は外部要因に依存し、フラッシュローンなどの方法で操作される可能性があります。これらの問題は実際の攻撃で頻繁に発生し、専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト関係者は契約の安全性を重視し、潜在的なリスクを防ぐために専門チームによる包括的な監査を求めるべきです。! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
2022年上半期にNFTのセキュリティ事件が頻発し、契約の脆弱性が主要なリスクとなった
NFTコントラクト証券分析レポート:よくある質問と代表的なケース
2022年上半期、NFT分野では複数の重大なセキュリティ事件が発生し、総損失は約6490万ドルに達しました。これらの事件は主に契約の脆弱性の悪用、秘密鍵の漏洩、フィッシング攻撃などによって引き起こされました。特に、Discordプラットフォーム上でのフィッシング攻撃はほぼ毎日発生しており、個人ユーザーに頻繁な損失をもたらしています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件分析
TreasureDAOイベント
3月3日、TreasureDAO取引所が攻撃を受け、100以上のNFTが盗まれました。この事件の根本的な原因は、ERC-1155とERC-721トークンの混用によって引き起こされた論理的混乱です。契約はトークンの種類を区別せず、ERC-721に適用されない数量の概念を価格計算に誤って使用しました。
APE Coinエアドロップイベント
3月17日、あるハッカーがフラッシュローンを利用して6万枚以上のAPEコインのエアドロップを取得しました。バグはエアドロップ契約に存在し、契約はユーザーのNFTに対する瞬時の所有権のみをチェックしており、これはフラッシュローンによって簡単に操作できます。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受け、約12万ドルの損失を被りました。これは典型的なERC-1155リ入攻撃のケースです。契約は新しいFNFTをミントする際に十分なチェックを行わなかったため、リ入脆弱性が発生しました。
NBAハウヤンモウ事件
4月21日、NBAプロジェクトが攻撃を受けました。問題はホワイトリスト検証の署名メカニズムにあり、署名の悪用と再利用という2つの主要な問題が存在します。契約は使用済みの署名を保存しておらず、署名者に対して厳格な検証も行っていません。
Akutarイベント
4月23日、Akutarプロジェクトは契約の脆弱性により3400万ドルの資産がロックされました。主な問題は、返金関数の論理的欠陥とユーザーの複数入札の状況を考慮していないことです。
XCarnival イベント
6月24日、XCarnivalが攻撃を受け、約380万ドルの損失を被りました。攻撃者は、NFTのステーキングと貸し出しプロセスにおける契約の論理的な脆弱性を利用し、無効な担保記録を繰り返し使用して貸し出しを行いました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFTコントラクトの一般的なセキュリティ問題
署名の悪用と再利用:繰り返し実行の検証と署名者の有効性チェックが欠如している。
論理的な脆弱性:例えば、管理者が総量制限を回避してコインを鋳造したり、オークションプロセス中の取引順序が依存攻撃にさらされることなど。
ERC721/ERC1155リエントランシー攻撃:転送通知機能の使用時に発生することがあります。
過大な権限の範囲:ユーザーは特定の操作において過度な権限を要求される。
価格操作:NFTの価格は外部要因に依存し、フラッシュローンなどの方法で操作される可能性があります。
これらの問題は実際の攻撃で頻繁に発生し、専門的なセキュリティ監査の重要性を浮き彫りにしています。プロジェクト関係者は契約の安全性を重視し、潜在的なリスクを防ぐために専門チームによる包括的な監査を求めるべきです。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)
ダム(ではないのか?)プロジェクト。
実際、私はそれが皆の目の前にあると信じており、私たちは(投資)の時間の観点で目を回すことになるでしょう。
まだnftや特にAPEに関するパイプラインのことがあります。
映画* 時間