![見出し画像](https://assets.st-note.com/production/uploads/images/60695633/rectangle_large_type_2_c9d7bff3b94a57cb8895793f76f08fc1.png?width=1200)
国内NFTマーケットプレイスnanakusaのハッキング対応について思うこと
日本初のNFTマーケットプレイス「nanakusa」がさらに国内初のNFTのハッキングにあうという事件が9/3に発覚しました。9/7に「NFT流出に関するお詫び及び対応内容の説明会」というウェビナーがあるとのことで参加してきました。
nanakusaハッキング事件の経緯
nanakusaよりクリエイター・ユーザーの皆様にご連絡があります。現在調査中につき、追ってご報告させて頂きます。皆様のご理解宜しくお願い申し上げます #nanakusa pic.twitter.com/Kl4vnEAjVp
— nanakusa_io (@nanakusa_io) September 3, 2021
9/3の昼過ぎにこんなアナウンスがありました。丁度NFTブランドであるSUSHI TOP SHOTの銀座渡利の食事券オークションが開催されており、NFTお寿司屋さんの常連である私としてはnanakusaでの入札を検討している最中のことでした。
その後、出品・購入機能が制限されたものの、オークションは継続され、犯人からはなぜか盗まれたNFTが返ってきたとのこと。さらに9/5にサービス再開に向け動いているという公式発表がありました。
国内初のNFTハッキングに対して対応が軽すぎるんじゃね??
そこで下記のようなアンケートをとりました。
みんなにどうしても聞きたい
— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
nanakusaという国内のNFTマーケットプレイスがハッキングに合いNFTが盗難されました
犯人からなぜかNFTは返却され、ハッキングの原因がわかり改修したとのことでnanakusaで一時的に停止していたサービスも再開されました
あなたはnanakusaのセキュリティを
ちょっとここで勘違いがあったのがそもそもオークションは止まってなかったっぽいですね。nanakusaから状況を聞いている某運営に近い方とオークション再開されたって聞いて勘違いしてしまいました。
アンケート結果は数分でほぼ全ての人たちが『信用できない』とのことで、やはりnanakusaさんの感覚が非常にズレていると感じました。
少なくともこんな短時間でサービス再開するっていうのは悪手以外の何物でもない
— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
アンケート出して数分で結果は明らかかと
国内初の事例です。万全のセキュリティチェックを引いてやれるべきことすべてやってからから再開するべきです
マーケットコントラクトもオークションコントラクトも問題ないと判断してサービスがあって、片方脆弱性があった。
— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
それで念のためオークションコントラクトも確認しようにならないんですね。
何度も言いますがアンケートの回答がすべてです。NISHIさんが普通だと思っていてもみんな納得していません
またNISHIさん外部の方ですよね?
— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
自社のセキュリティ情報などを公式発表前に外部の方に伝える企業スタンスもちょっとどうかしていると思います。順番がおかしいのでは
今回の一連のnanakusaの行動が全く正しいとは思えません
この時に、僕が強く言いたかったのは下記の通り。
・サービスを稼働させるにはユーザーへの説明が完全に不足している
・安全だと思っていたシステムがハッキングされているため、稼働しているオークションも停止しスマートコントラクトの脆弱性の確認をするべき
・一部の人間にだけ情報を漏らす情報統制などコンプライアンスの問題
・関係各所への連絡(省庁や警察書への被害届など)が必要ではないか
こんな感じでツイートを連投したところnanakusaさんからは下記のようなツイートが
本日の事案について改めてご報告します。
— nanakusa_io (@nanakusa_io) September 3, 2021
1/
nanakusaご利用の一部ウォレットにて、所有NFTが別ウォレットに流出していたことが判明しました。
原因調査及び対策について協議した結果、一時的に出品及び購入機能を制限する措置を実施しました。
説明の一環ですね、、、
いやいや公式サイトに貼りましょうよ??
サービス利用ユーザーが全員twitterチェックしてるとでも思っているんでしょうか。利用ユーザーがサービス利用する前に見るのは間違いなく公式サイトです。
nanakusaより皆様へご報告となります。今回の件を受け、本日開催予定のSushi Top ShotのNFTオークションを延期とさせて頂きます。楽しみにされていました皆様、ご関係者の皆様、この度は誠に申し訳ありません。(*尚、nanakusaでは引き続き出品/購入機能は制限させていただいております) #nanakusa https://t.co/uIn82HGgni pic.twitter.com/OBGif4w0xK
— nanakusa_io (@nanakusa_io) September 4, 2021
さらに翌日、オークションの停止の発表や、出品状態を解除するための説明会が開催される旨の発表がありました。自意識過剰かもしれませんが多分僕のツイートは目にしている気がしました。
他には、nanakusaさんに近しい人たちから『モッピー(モピワン)さんが全部言ってくれるので助かる』と複数ご連絡をいただきました。
コントラクト脆弱性の確認
説明会が開催される旨の発表があった直後、一人のブロックチェーンエンジニアさんから連絡があり、現在もコントラクトに脆弱性があり過去に出品したユーザーのNFTはまだハッキングされる可能性がある。という情報提供がありました。
この時点で脆弱性のアナウンスすることは正直かなり迷いました。
これをアナウンスすることで、再度被害に合うリスクが高まるのではないか、多少知識のある人間が面白半分でハッキングしてしまうのではないかなどです。また100%の情報の担保も出来ません。
とりあえず、5年くらい前までニワカエンジニアをしていた時期があったので自分でも実行してみるか試してみましたがそこまでたどり着けず笑
ただそのブロックチェーンエンジニアさんのかなり詳細な説明や、テストネットでまだ再現が取れるということを信じてnanakusaのdiscordサーバーで質問をしてみることにしました。
なぜなら今の状態だとユーザーはどの程度の温度で説明会に参加してnanakusaの案内してくれるという作業をする必要があるのか全くわからないからです。
絶対に再度ハッキング被害に合うリスクを抱えてしまうユーザーが出ると思っていました。(この時点ではほぼ全員リスクがありました)
かなーり遠回しに聞いています。これはやはり今回のハッカー以外にまだ脆弱性が残っていると気づかれないように配慮しました。
そうしたところ、10時頃にnanakusaの運営からはこのような返答が。
なんということでしょう。フロントページの表示を消しただけで危険性がないと言っています。コントラクトに脆弱性があるのに、、、
こっちはまだコントラクトに脆弱性がありハッキング可能だということをテストネットで確認して(もらって)いるのです。
これはヤバイと思い、一歩踏み込んだ質問を
急に作業しなくてもいいと言い出しました。
本当かよと思っていましたが、ご協力してくれたブロックチェーンエンジニアの方からも、今度はエラーで弾かれるということで今回のハッキングと同様の手口ではユーザーにリスクがないことがやっと確認とれました。
一応、このように聞いてみましたが、回答はいただけませんでした。
9/3にハッキングが起こってから9/7 11:00頃までコントラクトに脆弱性があったままだったんですが、、、、
9/7 20:00 ユーザー向けウェビナー
いやね、出品状態を解除するための説明会なのに解除しなくよくなって何を話するんだろうなーと参加しましたが、経緯などの報告がありました。
何ていうか、ほぼ僕が言った後にやってね?みたいな思いはありますが、とりあえず大分直近のリスクが減ってくれてホッとしています。
質疑応答にもきちんと全て回答してくれており、私からのこんな感じの質問でも、脆弱性は残っていたことを正直に回答していただきました。「脆弱性が残っていたが挙動を監視していたので危険性は低い」とかって理由はちょっと意味がわからない部分はありましたが、全体的には真摯に回答していたと思います。
さいごに
・サービスを稼働させるにはユーザーへの説明が完全に不足している
・安全だと思っていたシステムがハッキングされているため、稼働しているオークションも停止しスマートコントラクトの脆弱性の確認をするべき
・一部の人間にだけ情報を漏らす情報統制などコンプライアンスの問題
・関係各所への連絡(省庁や警察書への被害届など)が必要ではないか
最初のほうで僕が言っていた問題点のうち、解決されたのはごくごく一部。システムセキュリティ上以外の問題点も見えてきてしまいました。
正直、他の国内マーケットプレイスがnanakusaさんよりしっかりしているかというのは疑問ですし、nanakusaさんより状況が悪いところもいっぱいあると思いますし、運が悪かったというのもあると思います。
ただ、やはり国内初の事例ということで、非常に難しいとは思いますが僕なんか素人に突っ込まれる前にキレイに対応してほしかった。また周りの人間もアドバイスしてあげてほしかったというのが本心です。
こういうときのためにNFT界隈の人たちは寿司屋に行った後セクキャバに行ってるんでしょうが。いやそれは僕と一部の人間だけでしたすいませんでした。
何はともあれ、これからのnanakusaさんのサービス再開を心より願っております。
この記事が気に入ったらサポートをしてみませんか?