国内NFTマーケットプレイスである『nanakusa』で9月3日にハッキング事件が発覚しました。
nanakusaよりクリエイター・ユーザーの皆様にご連絡があります。現在調査中につき、追ってご報告させて頂きます。皆様のご理解宜しくお願い申し上げます #nanakusa pic.twitter.com/Kl4vnEAjVp
— SBINFT Official (@sbinft_market) September 3, 2021
36点のNFTが盗まれた模様でしたが、すべてがハッカーによって返却されました。9月7日にはオンラインで事件の経緯や対策についての説明会が行われています。
NFTがすべて返却されたことで一応の収束をみたわけですが、おそらく国内初のNFTマーケットプレイスのハッキング事件であることや、警察へ届け出をするのかなど今後の対応への注目も集まっています。
何が起きたのか
ここからは9月7日に行われた「NFT流出に関するお詫び及び対応内容の説明会」の概要をまとめています。
今回の事件は9月3日の11:30頃にクリエイターの方からの問い合わせで、ハッキングの疑いがあるということで調査を行い、実際にハッキングが発覚しました。
※実は8月21日にハッカーによるテストが行われており、8月29日からハッキングが開始していたことが検証の中でわかっています。
流出したNFT総数は36件(ETH2件/Polygon34件)で、流出したアドレス数は17件にのぼります。この流出したアドレスの中にはクリエイターや、パートナーのアドレスも含まれます。
発覚から2時間後にTwitter、Discordなどでアナウンスを行い、出品と購入の一時停止措置を実施。
しかし流出が発見した同日の午後19:20頃にすべての流出したNFTの返却が確認されました。
流出の原因は「NFTの購入処理を実行する権限を生成するプログラムをクラックし実行権限を不正取得」されたことにあるそうで、現在は「クラックされたプログラムのルールの一部変更し、即座に再実行できないよう対処」したそうです。
また各所への連絡をすると同時に、9月5日にサイトをメンテナンスモードへ移行。9月18日の再開を目指して準備を整えています。
今後の対応
原因の特定と二次被害の防止、恒久対策に向けた改修と検証を全社で行っており、外部セキュリティのシステム導入準備なども行っています。
警察への被害届などについては、9月7日時点で弁護士と興味を行っているところだと説明しています。
今後はサービスを再開した後に、詳細レポートを共有する予定だそうです。
ウェビナーは公開されているので、全体をご覧になりたい方はこちらをご覧ください。
本日ご案内しておりました通り、NFT流出に関する説明会を実施しました。
参加できなかった方々向けに説明会の動画を公開いたします。https://t.co/AH0KJc7WAe#nanakusa https://t.co/FATy83rUfU— SBINFT Official (@sbinft_market) September 7, 2021
今回のハッキング事件は運営側の対応に批判の声もあがっており、国内初のNFTマーケットプレイスハッキング事件として今後の対応に注目が集まります。