OpenSeaがハッキング被害者に払い戻し
最大のNFT(非代替性トークン)マーケットプレイスの1つであるOpenSeaは、プラットフォームの最近のハッキングの影響を受けたユーザーに対し、およそ180万ドル(約2億円)を払い戻したことが明らかになった。
2022年1月24日(月曜日)、一部のOpenSeaユーザーは、OpenSeaリストプロセスの欠陥を利用して、98%の割引でNFTを購入し、その後はるかに高い価格で再販。これにより一部のユーザーが損失を被ったことに対してOpenSeaは、影響を受けたユーザーに連絡を取り、約180万ドルの払い戻しを行ったとのこと。ハッキング被害者の一人であるロバート・ガルシア(Robert Garcia)氏は大手メディアの取材に対し、意図しない販売直後にOpenSeaにメールを送信し、翌25日(木曜日)に彼らから返信を受けている。その中でOpenSeaは、現在の価格で35,000ドルを超える13.8ETHの払い戻しを提案された事を明らかにしている。
また、ブロックチェーン分析会社Ellipticのレポートによると、OpenSeaのエクスプロイトは、プラットフォーム上のアセットリストを処理する方法の欠陥を利用したもので、誰でも低価格でNFTが購入できる状態になっていたとのことだ。さらにEllipticは、エクスプロイトから現在の価格で少なくとも340ETHを800,000ドル(約9,200万円)以上の価値で売却したユーザー「jpegdegenlove」を含む、エクスプロイトに関与した少なくとも5人を特定したことを明らかにした。
最初のオファーを無効にする手口を利用
OpenSeaは、ガス料金で有名なイーサリアムブロックチェーン上に構築されているため、トランザクションに費やされる金額を削減する。
そのため、NFTマーケットプレイスでは、それらのトランザクションを決済のためにブロックチェーンに送信するまで、機能のほとんどをオフチェーンで処理している。プラットフォーム上のNFTベンダーは、NFTを販売したい金額を確認するオフチェーンデータに署名する必要があるが、ガス料金の支払いを回避させるためにベンダーはNFTを別のウォレットに転送することで、NFTはOpenSeaに存在しなくなり、最初のオファーは無効になってしまうとのこと。なお、NFTの購入者のほとんどが、利用者の取引を匿名化できるトルネードキャッシュを使用してプラットフォームに資金を預け入れている。
一方で、OpenSeaは今回のエクスプロイトを受けて、OpenSeaはプラットフォーム上に新しいリストマネージャーを立ち上げている。これによりユーザーは、アクティブリストと非アクティブリストの両方を効果的に確認でき、ワンクリックオプションで非アクティブなリストをキャンセルできるようになっている。
