※本レポートでは2021年夏~2023年にかけて発生したNFTを狙った過去の事件を参考にしながら「NFTに対する代表的な攻撃手法」を解説していきます。なお、なお、本レポートは【前編】【中編】【後編】で構成しています。

今回の前編では、「NFTに対する代表的な攻撃手法」を理解する前段階の基礎知識を提供することを目的にEthereum等のEVMチェーンにおける「承認/approve」の概念を解説します。主に入門者の方に向けた基礎的な内容のご紹介となります。すでにご存知の方は今回の【前編】を飛ばし、次回【中編】【後編】からご参考ください。


【NFTに対する代表的な攻撃手法を知るシリーズ】

誰も信用することなく自分の資産を制御し、管理することができる。それがすべての人にとっての最適な資産管理の選択肢ではないとはいえ、資産をオンチェーン管理をする以上はそれがブロックチェーンの本質でもありますから、その良し悪しの如何に関わらずその性質とは向き合わなければなりません。

この性質は「あなたがそうさせない限り（承認/approveをしない限り）は誰もあなたの資産を奪うことはできない」と表現することができ、

また別の言い方では「あなたの意志で決定したか否か（認識しているか否か）に関わらず、そうなった限り（承認/approveしてしまった限り）はあなたの資産は承認された誰かが制御できるようになる」とも表現できます。

つまり、Ethereum（その他EVMチェーンを含む）上での承認/approveとは、あなたの資金にアクセスする許可を第三者に与える行為です。approveをしていなければ、スマートコントラクトはあなたのウォレットで資産を扱うことはできませんから、DEXでERC20を売ったり、OpenseaでNFTをリスティングしたりすることもできません。しかし、approveをしていればそうすることもできます。

今回の前編では、NFTに対するさまざまな攻撃で悪用されることの多いapproveの概念を入門者向けに説明していきます。