OpenSeaに重大なセキュリティの脆弱性発覚
イーサリアム(Ethereum)ベースのNFTマーケットプレイスであるOpenSeaは、重大なセキュリティの脆弱性に直面しており、ユーザーの仮想通貨ウォレットが危険に晒されていることが明らかになった。
インターネットセキュリティ製品製造を手掛ける企業Check Point Software(チェック・ポイント・ソフトウェア・テクノロジーズ)の研究者は、OpenSeaプラットフォームのセキュリティ上の欠陥を指摘。ハッカーがユーザーの仮想通貨ウォレットから通貨を盗み出せる可能性があると警告した。OpenSeaプラットフォーム内に、悪意のあるペイロード(※1)を使用し、NFTを作成する方法があるが、ハッカーがそれらを悪用することでユーザーの仮想通貨がハッキングされる可能性があるという。
パケット通信のパケットに含まれるヘッダやトレーラなどの付加的情報を除いた、データ本体を言う。
エアドロップで悪意あるNFTがユーザーへ投下
被害者がハッカーから送信された悪意のあるNFTを受信し、被害者のページに仮想通貨ウォレットへのログインを要求するポップアップが表示されると、ポップアップのクリックすることで、ハッカーがウォレットへアクセスするできるという。
これら悪意のあるNFTはエアドロップによりユーザーに投下されており、エアドロップに対する適切な行動をとることが必要とされている。また、OpenSeaは、NFTやその他のデジタル収集品を購入、販売、取引するための最大の市場であり、いくつかのサードパーティの仮想通貨ウォレットをサポートしている。そのため、セキュリティが最大の問題の1つであるとされる仮想通貨プラットフォーム内で、多くのユーザーの仮想通貨ウォレットが危険に晒されていることになるとCheck Point Softwareの研究者は警告した。さらに、同研究者は、イノベーションの速度が早い仮想通貨に対し、ソフトウェアアプリケーションと仮想通貨市場を安全に統合することは極めて困難であると述べている。OpenSeaの責任者は、次のように述べている。
私たちは問題が発覚してから「1時間以内に」修正を実装しました。また、セキュリティに関するコミュニティ教育を倍増させる予定です。
一方、OpenSeaは一カ月前、NEXTMONEYの特集記事「OpenSea幹部のインサイダーNFT取引がTwitterユーザーに発見される」、「OpenSeaは従業員がNFTインサイダー取引スキャンダルで辞任=直後にNFTマーケットプレイスアプリのリリースを発表」で報じたように、トップ幹部によるインサイダー取引が発覚している。今回のOpenSeaプラットフォームでの脆弱性の発覚は、インサイダー事件からわずか一カ月後の出来事であり、OpenSeaユーザーの不信感を招くことは避けられそうにない。