見出し画像

9月19日(日)サービス再開のお知らせと今後の対応につきまして

はじめに

平素より『nanakusa』サービスをご利用いただき、ありがとうございます。

この度は、『nanakusa』にて、ご利用者のウォレットアドレスが所有する一部NFTが外部に流出してしまう事案が発生したことにより、サイト全体の見直しを行うため、nanakusa全機能を一旦制限しメンテナンスモードにさせていただいておりました。

2021年9月19日(日)18時をもってサービスを再開いたします。

ご利用の皆様、ご関係者の皆様、ご理解いただき誠にありがとうございました。

サービス再開に当たり、

●流出の経緯
●当社の対応の経緯
●今後の対応

につきまして、改めてご説明致します。

流出の経緯

まずは、流出の経緯をご説明いたします。
※UTC時間になります。

●8月21日(土)11時29分:Etherscanで不正なNFT流出の試み及び、2件不正にNFT流出
●8月28日(土)4時56分より:Polygonにて6件不正にNFT流出
●8月29日(日)12時26分より:Polygonにて5件不正にNFT流出
●8月30日(月)12時14分より:Polygonにて6件不正にNFT流出
●8月31日(火)11時44分より:Polygonにて1件不正にNFT流出
●9月1日(水)11時56分より:Polygonにて8件不正にNFT流出
●9月2日(木)11時06分より:Polygonにて8件不正にNFT流出
●9月3日(金)19時20分頃:流出NFT全ての返却を確認

上記が流出の経緯となります。
結果的に、流出件数は以下の通りです。

流出したNFT総数:36件(ETH 2件 / Polygon 34件)
流出したNFTのウォレットアドレス数:17件

そして、本NFT流出の原因は、
攻撃者がNFTの購入処理を実行する権限を生成するスマートコントラクトのプログラムをクラックし、実行権限を不正取得しました。
結果、攻撃者は販売価格を無視し、最低価格で購入を実行したことで、ただ同然でNFTの所有権が移動されてしまいました。

当社の対応の経緯

スクリーンショット 2021-09-17 19.45.24

今回の対応の時系列をお伝え致します。

●9月3日(金) 11時30分:Polygonscanにコントラクトハックの疑い/トランザクションを発見/解析

●9月3日(金)13時27分:Twitter/Discordにて初期アナウンス

●9月3日(金)16時7分:出品中のクリエイター・ユーザーへ連絡

●9月3日(金) 17時42分:nanakusaにて出品・購入の一次的制限
―一時的に、コントラクトのhashに必要なパラメータを変更

●9月3日(金)19時20分:NFTが返却、全ての所有者に返却完了+システム改修*この時点では9月5日(日)復旧目途としていた

●9月3日(金) 21時00分:今回被害に遭われたクリエイターに初期対応の
ご報告+Sushi Top Shotユーザーへはメールで連絡

●9月4日(土)11時22分:Sushi Top Shot NFTオークションを延期

●9月4日(土)18時39分:現在の状況及び今後の対応についてアナウンス

●9月4日(土) 21時30分:クリエイター向け2回目説明会

●9月5日(日)12時00分:サイト見直しのため全機能をメンテナンスモード

●9月7日(火)11時00分:恒久対応(コントラクトの改修)に向け一次対応(原因プログラムの完全停止)
―Dappsの遮断(timestampの実効許容時間を0に)
ーコントラクトオーナー権限の変更
―コントラクトの改修により、ユーザーにお願いする予定だったsetApproveforAllのキャンセル対応が不要に

●9月7日(火) 20時00分:流出に関する説明会(ウェビナー)

●9月7日(火)〜 9月18日(土):恒久対応及び検証

●9月19日(日) 18時00分:サービス再開

上記の経緯にて対応を行いました。

今後の対応

トランザクション監視システムの導入
トランザクション監視につきましては、nanakusaにて監視体制を構築しております。

そして、トランザクション監視につきましては、過不足の評価を社内で行い、順次必要なソリューションを実装いたします。

流出したクリエイター/一般ユーザーの方のNFTの以前出品した際のGAS代を補填(個別対応)
以前、流出したNFTの出品の際に発生したGAS代を当社にて補填させていただきます。

一律3,000円分のETH
一律157円分のMatic(1Matic※2021年9月18日時点)

●nanakusaお詫びNFTを今回被害に遭われた方に配布

画像2

この度、心からのお詫びの気持ちとして、今回被害に遭われた方に対し、お詫びNFTを配布致します。

今後、このような事態が二度と起こらないよう対策を施して参ります。
引き続き、nanakusaをご愛顧頂けますよう、よろしくお願い申し上げます。

この記事が気に入ったらサポートをしてみませんか?