This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NFT契約のセキュリティ警報:上半期6490万ドルの損失、6つの典型的な事件をデプスに分析
NFT契約の安全性:上半期の出来事の振り返りとよくある質問の分析
2022年上半期、NFT分野の安全状況は楽観的ではありません。データプラットフォームの監視によると、合計で10件の重大な安全事件が発生し、約6490万ドルの損失が生じました。主な攻撃手段には、契約の脆弱性の悪用、秘密鍵の漏洩、フィッシングなどが含まれます。特に、Discordサーバーが頻繁に攻撃を受けており、ユーザーがフィッシングリンクをクリックすることで損失を被るケースがしばしば発生しています。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)
典型的なセキュリティ事件の振り返り
TreasureDAOイベント
3月3日、TreasureDAO取引所がハッキングされ、100以上のNFTが盗まれました。脆弱性はTreasureMarketplaceBuyerコントラクトのbuyItem関数の論理エラーに起因し、トークンタイプの判断を行わなかったため、0トークンの支払いでNFTを購入できる状況を引き起こしました。これは、ERC-1155とERC-721トークンの混用による論理的混乱の問題を反映しています。
APE Coinエアドロップイベント
3月17日、ハッカーはフラッシュローンを利用して6万枚以上のAPEコインのエアドロップを取得しました。脆弱性はAirdropGrapesTokenエアドロップ契約に存在し、契約はNFTの所有権を即時の状態で判断するだけで、その状態はフラッシュローンによって操作可能でした。
Revest Financeイベント
3月27日、Revest Financeが攻撃を受け、12万ドルを失った。 この脆弱性は、depositAdditionalToFNFT()関数で不適切に更新された状態変数によるERC-1155再入攻撃に関係しています。
NBAのハウヤンモー事件
4月21日、NBAプロジェクトがハッキングされました。問題はThe_Association_Sales契約の署名検証メカニズムにあり、署名の悪用や再利用のリスクが存在します。
Akutarイベント
4月23日、AkutarプロジェクトのAkuAuction契約は論理的な脆弱性により、1.15万ETH(約3400万ドル)がロックされました。主な問題は、返金関数の設計欠陥であり、ユーザーの複数回入札の状況を考慮していませんでした。
XCarnival イベント
6月24日、XCarnivalが攻撃され、ハッカーは3087枚のイーサリアムを獲得しました。XNFT契約には脆弱性があり、ステーキングと借り入れのロジックに欠陥が存在し、攻撃者が無効な担保記録を繰り返し使用することを許可していました。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)
NFT契約に関するよくある質問
サインの冒用と再利用:
ロジックの欠陥:
ERC721/ERC1155 リエントランシー攻撃:
権限の範囲が広すぎる:
5.価格操作:
上記の問題を鑑みて、NFTプロジェクト側は契約の安全監査を重視し、潜在的なリスクを防ぎ、ユーザーの資産の安全を確保する必要があります。
! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)