NFTコントラクトのセキュリティ監査における一般的な問題分析

2022年上半期、NFT分野で多くのセキュリティ事件が発生し、約6490万ドルの損失が生じました。主な攻撃手法には、契約の脆弱性を悪用すること、秘密鍵の漏洩、フィッシングなどが含まれます。これらの事件は、NFT契約のセキュリティ監査の重要性を浮き彫りにしました。

! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-f85923b3f0a55ae7230fc5950c904d1e.webp)

典型的なセキュリティ事件の回顧

1. TreasureDAOインシデント:ERC-1155トークンとERC-721トークンの混合によるロジックの脆弱性により、攻撃者は0トークンを支払ったままNFTを購入することができました。

2. APE Coinエアドロップイベント：エアドロップ契約は、フラッシュローンによって操作可能な瞬時状態を使用してNFTの所有権を判断し、攻撃者がNFTを借り入れてエアドロップを取得できるようにしました。

3. Revest Financeのインシデント:ERC-1155のリエントランシーの脆弱性により、攻撃者はFNFTを繰り返し鋳造し、約120,000ドルの損失を引き起こしました。

4. NBAプロジェクトのアービトラージ事件：契約内の署名検証に偽造や再利用の問題が存在し、攻撃者が署名を繰り返し使用したり、偽造したりすることを許可している。

5. Akutar事件：契約の論理的な欠陥により約3400万ドルの資産がロックされました。主な原因は、ユーザーが複数のNFTに入札できる状況を考慮していなかったことです。

6. XCarnival事件：契約内の論理的な脆弱性により、攻撃者が無効な担保記録を繰り返し使用して借り入れを行うことができ、約380万ドルの損失を引き起こしました。

! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/webp-social/moments-1888562fb8639d0fb586b639d3e5eb87.webp)

NFT契約監査に関するよくある質問

1. サインの冒用と再利用

   • 繰り返し実行の検証が不足しています。例えば、ユーザーのnonce。
   • 署名チェックが不合理であり、署名者がゼロアドレスである場合をチェックしていない

2. ロジックの欠陥

   • 管理者は総量制限を回避してコインを鋳造できます
   • オークションプロセスには取引順序依存攻撃のリスクが存在します

3. ERC721/ERC1155リエントランシー攻撃

   • 転送通知機能の使用時に再入攻撃を引き起こす可能性があります

4. 権限の範囲が広すぎる

   • 単一トークンの承認ではなく、グローバルな承認を要求することで、NFTの盗難リスクが増加します。

5. 価格操作

   • NFTの価格は、トークンの保有量などの操作可能な外部要因に依存します。

これらの問題は実際の攻撃で頻繁に発生し、専門的なセキュリティ監査の必要性を浮き彫りにしています。プロジェクトチームは契約の安全性を重視し、専門機関による包括的な監査を求めて、安全リスクを低減する必要があります。

! 【上半期のNFTセキュリティインシデントの分析:警戒すべき典型的なケースは何か】 ](https://img-cdn.gateio.im/social/moments-d101c45dd9b43f58f7f9c7919dd3918)