ハッカーがバグ利用
ブロックチェーン分析企業であるEllipticは1月24日(月曜日)、最も人気のあるNFT(非代替性トークン)マーケットプレイスのフロントエンドであるOpenSeaを悪用することで、100万ドル(約1億1,400万円)相当のNFTを不正に購入したことが明らかになった。
Follow our coverage, as hackers exploit a bug to steal $1 million in NFTs from users of the OpenSea NFT marketplacehttps://t.co/r1v8btf2bP
— elliptic (@elliptic) January 24, 2022
ブロックチェーン分析企業Ellipticの調査 https://www.elliptic.co/blog/bug-allows-nfts-worth-over-1-million-to-be-stolen によると、ハッカーは、OpenSeaのフロントエンドでのエクスプロイトを行い、資金を不正に購入したとのこと。少なくとも3ユーザーがこのバグを利用し、8つのNFTをハッキングしたとされており、これらには、Bored Ape Yacht Club、Mutant Ape Yacht Club、Cool Cats、Cyberkongzが含まれるとのこと。
「jepgdegenlove」名のユーザーは、7つのNFTを合計13万3000ドル(約1500万円)で落札し、その後すぐに93万4000ドル(約1億円)で販売した記録が残っている。
またもハッカーはミキシングサービスを利用
NFTとは、「Non-Fungible Token」の略称で、代替不可能で固有の価値を持つデジタルトークンであり、ゲーム内アイテムやアート作品、証明書など幅広く技術の活用が期待されている。
今回のハッキングでユーザーはNFTの不正購入から5時間後に、資金のブロックチェーン追跡を防ぐために使用されるミキシングサービス、Tornado Cash(トルネードキャッシュ)を介して別のウォレットに送った事がわかっている。Ellipticは現時点で、今回のNFTの購入者は、新しい価格でNFTを再度販売するために掲載し直す機能を利用したと分析している。
OpenSeaのユーザーはNFTを出品する際に、潜在的な買い手向けにNFTの売値を設定し、スマートコントラクトの性質上、買い手がその売値を受け入れれば、NFTは自動的に買い手の所有物となる。しかし、NFTの所有者がより高い売値でNFTを再出品したいと思った場合、正規の方法だと最初の出品を取り消す必要があるが、これには手数料がかかるため、一部のユーザーは手数料を回避するために、NFTを別のウォレットに転送した後、元のウォレットに戻すという方法を取っていたとのこと。通常OpenSeaのフロントエンドディスプレイの情報から売値が削除されるが、元の売値はブロックチェーン上でアクティブなままなので、OpenSeaのAPIを通じて見つけることができたという。
今回のバグは数週間前に発見されていたようだが、現在まで大きな被害は確認されておらず、OpenSeaは今回の事件に関して、新たな情報が分かりしだい報告すると発表している。
