日本初のNFTマーケットプレイス「nanakusa」がさらに国内初のNFTのハッキングにあうという事件が9/3に発覚しました。9/7に「NFT流出に関するお詫び及び対応内容の説明会」というウェビナーがあるとのことで参加してきました。
nanakusaよりクリエイター・ユーザーの皆様にご連絡があります。現在調査中につき、追ってご報告させて頂きます。皆様のご理解宜しくお願い申し上げます #nanakusa pic.twitter.com/Kl4vnEAjVp— nanakusa_io (@nanakusa_io) September 3, 2021
9/3の昼過ぎにこんなアナウンスがありました。丁度NFTブランドであるSUSHI TOP SHOTの銀座渡利の食事券オークションが開催されており、NFTお寿司屋さんの常連である私としてはnanakusaでの入札を検討している最中のことでした。
その後、出品・購入機能が制限されたものの、オークションは継続され、犯人からはなぜか盗まれたNFTが返ってきたとのこと。さらに9/5にサービス再開に向け動いているという公式発表がありました。
国内初のNFTハッキングに対して対応が軽すぎるんじゃね??
そこで下記のようなアンケートをとりました。
みんなにどうしても聞きたいnanakusaという国内のNFTマーケットプレイスがハッキングに合いNFTが盗難されました犯人からなぜかNFTは返却され、ハッキングの原因がわかり改修したとのことでnanakusaで一時的に停止していたサービスも再開されましたあなたはnanakusaのセキュリティを— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
ちょっとここで勘違いがあったのがそもそもオークションは止まってなかったっぽいですね。nanakusaから状況を聞いている某運営に近い方とオークション再開されたって聞いて勘違いしてしまいました。
アンケート結果は数分でほぼ全ての人たちが『信用できない』とのことで、やはりnanakusaさんの感覚が非常にズレていると感じました。
少なくともこんな短時間でサービス再開するっていうのは悪手以外の何物でもないアンケート出して数分で結果は明らかかと国内初の事例です。万全のセキュリティチェックを引いてやれるべきことすべてやってからから再開するべきです— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
マーケットコントラクトもオークションコントラクトも問題ないと判断してサービスがあって、片方脆弱性があった。それで念のためオークションコントラクトも確認しようにならないんですね。何度も言いますがアンケートの回答がすべてです。NISHIさんが普通だと思っていてもみんな納得していません— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
またNISHIさん外部の方ですよね?自社のセキュリティ情報などを公式発表前に外部の方に伝える企業スタンスもちょっとどうかしていると思います。順番がおかしいのでは今回の一連のnanakusaの行動が全く正しいとは思えません— モピワン・アワービ【女子高生NFTアーティスト】 (@shonen_mochi) September 3, 2021
この時に、僕が強く言いたかったのは下記の通り。
・サービスを稼働させるにはユーザーへの説明が完全に不足している・安全だと思っていたシステムがハッキングされているため、稼働しているオークションも停止しスマートコントラクトの脆弱性の確認をするべき・一部の人間にだけ情報を漏らす情報統制などコンプライアンスの問題・関係各所への連絡(省庁や警察書への被害届など)が必要ではないか
こんな感じでツイートを連投したところnanakusaさんからは下記のようなツイートが
本日の事案について改めてご報告します。1/nanakusaご利用の一部ウォレットにて、所有NFTが別ウォレットに流出していたことが判明しました。原因調査及び対策について協議した結果、一時的に出品及び購入機能を制限する措置を実施しました。— nanakusa_io (@nanakusa_io) September 3, 2021
説明の一環ですね、、、