見出し画像

国内NFTマーケットプレイスnanakusaのハッキング対応について思うこと

モッピー

日本初のNFTマーケットプレイス「nanakusa」がさらに国内初のNFTのハッキングにあうという事件が9/3に発覚しました。9/7に「NFT流出に関するお詫び及び対応内容の説明会」というウェビナーがあるとのことで参加してきました。

nanakusaハッキング事件の経緯

9/3の昼過ぎにこんなアナウンスがありました。丁度NFTブランドであるSUSHI TOP SHOTの銀座渡利の食事券オークションが開催されており、NFTお寿司屋さんの常連である私としてはnanakusaでの入札を検討している最中のことでした。

その後、出品・購入機能が制限されたものの、オークションは継続され、犯人からはなぜか盗まれたNFTが返ってきたとのこと。さらに9/5にサービス再開に向け動いているという公式発表がありました。

国内初のNFTハッキングに対して対応が軽すぎるんじゃね??

そこで下記のようなアンケートをとりました。

ちょっとここで勘違いがあったのがそもそもオークションは止まってなかったっぽいですね。nanakusaから状況を聞いている某運営に近い方とオークション再開されたって聞いて勘違いしてしまいました。

スクリーンショット 2021-09-07 21.10.25


アンケート結果は数分でほぼ全ての人たちが『信用できない』とのことで、やはりnanakusaさんの感覚が非常にズレていると感じました。

この時に、僕が強く言いたかったのは下記の通り。

サービスを稼働させるにはユーザーへの説明が完全に不足している
・安全だと思っていたシステムがハッキングされているため、稼働しているオークションも停止しスマートコントラクトの脆弱性の確認をするべき
・一部の人間にだけ情報を漏らす情報統制などコンプライアンスの問題
関係各所への連絡(省庁や警察書への被害届など)が必要ではないか

こんな感じでツイートを連投したところnanakusaさんからは下記のようなツイートが

説明の一環ですね、、、

いやいや公式サイトに貼りましょうよ??

サービス利用ユーザーが全員twitterチェックしてるとでも思っているんでしょうか。利用ユーザーがサービス利用する前に見るのは間違いなく公式サイトです。

さらに翌日、オークションの停止の発表や、出品状態を解除するための説明会が開催される旨の発表がありました。自意識過剰かもしれませんが多分僕のツイートは目にしている気がしました。

他には、nanakusaさんに近しい人たちから『モッピー(モピワン)さんが全部言ってくれるので助かる』と複数ご連絡をいただきました。

コントラクト脆弱性の確認

説明会が開催される旨の発表があった直後、一人のブロックチェーンエンジニアさんから連絡があり、現在もコントラクトに脆弱性があり過去に出品したユーザーのNFTはまだハッキングされる可能性がある。という情報提供がありました。

この時点で脆弱性のアナウンスすることは正直かなり迷いました。

これをアナウンスすることで、再度被害に合うリスクが高まるのではないか、多少知識のある人間が面白半分でハッキングしてしまうのではないかなどです。また100%の情報の担保も出来ません。

とりあえず、5年くらい前までニワカエンジニアをしていた時期があったので自分でも実行してみるか試してみましたがそこまでたどり着けず笑

ただそのブロックチェーンエンジニアさんのかなり詳細な説明や、テストネットでまだ再現が取れるということを信じてnanakusaのdiscordサーバーで質問をしてみることにしました。

なぜなら今の状態だとユーザーはどの程度の温度で説明会に参加してnanakusaの案内してくれるという作業をする必要があるのか全くわからないからです。

絶対に再度ハッキング被害に合うリスクを抱えてしまうユーザーが出ると思っていました。(この時点ではほぼ全員リスクがありました

画像2

かなーり遠回しに聞いています。これはやはり今回のハッカー以外にまだ脆弱性が残っていると気づかれないように配慮しました。

画像3

そうしたところ、10時頃にnanakusaの運営からはこのような返答が。

なんということでしょう。フロントページの表示を消しただけで危険性がないと言っています。コントラクトに脆弱性があるのに、、、

こっちはまだコントラクトに脆弱性がありハッキング可能だということをテストネットで確認して(もらって)いるのです。

これはヤバイと思い、一歩踏み込んだ質問を

画像5

画像4

急に作業しなくてもいいと言い出しました。

本当かよと思っていましたが、ご協力してくれたブロックチェーンエンジニアの方からも、今度はエラーで弾かれるということで今回のハッキングと同様の手口ではユーザーにリスクがないことがやっと確認とれました。

画像6

一応、このように聞いてみましたが、回答はいただけませんでした。

9/3にハッキングが起こってから9/7 11:00頃までコントラクトに脆弱性があったままだったんですが、、、、

9/7 20:00 ユーザー向けウェビナー

いやね、出品状態を解除するための説明会なのに解除しなくよくなって何を話するんだろうなーと参加しましたが、経緯などの報告がありました。

スクリーンショット 2021-09-07 20.07.10

何ていうか、ほぼ僕が言った後にやってね?みたいな思いはありますが、とりあえず大分直近のリスクが減ってくれてホッとしています。

スクリーンショット 2021-09-07 20.32.29

質疑応答にもきちんと全て回答してくれており、私からのこんな感じの質問でも、脆弱性は残っていたことを正直に回答していただきました。「脆弱性が残っていたが挙動を監視していたので危険性は低い」とかって理由はちょっと意味がわからない部分はありましたが、全体的には真摯に回答していたと思います。

さいごに

サービスを稼働させるにはユーザーへの説明が完全に不足している
・安全だと思っていたシステムがハッキングされているため、稼働しているオークションも停止しスマートコントラクトの脆弱性の確認をするべき
・一部の人間にだけ情報を漏らす情報統制などコンプライアンスの問題
関係各所への連絡(省庁や警察書への被害届など)が必要ではないか

最初のほうで僕が言っていた問題点のうち、解決されたのはごくごく一部。システムセキュリティ上以外の問題点も見えてきてしまいました。

正直、他の国内マーケットプレイスがnanakusaさんよりしっかりしているかというのは疑問ですし、nanakusaさんより状況が悪いところもいっぱいあると思いますし、運が悪かったというのもあると思います。

ただ、やはり国内初の事例ということで、非常に難しいとは思いますが僕なんか素人に突っ込まれる前にキレイに対応してほしかった。また周りの人間もアドバイスしてあげてほしかったというのが本心です。

こういうときのためにNFT界隈の人たちは寿司屋に行った後セクキャバに行ってるんでしょうが。いやそれは僕と一部の人間だけでしたすいませんでした。

何はともあれ、これからのnanakusaさんのサービス再開を心より願っております。

いいなと思ったら応援しよう!