本日ご案内しておりました通り、NFT流出に関する説明会を実施しました。
— nanakusa_io (@nanakusa_io) 2021年9月7日
参加できなかった方々向けに説明会の動画を公開いたします。https://t.co/AH0KJc7WAe#nanakusa https://t.co/FATy83rUfU
進行
定刻になりましたので始めさせていただきたいと思います。
nanakusaサービスで発生しましたNFT流出についてご説明させていただきます。
また今後の対応についても説明させていただきますのでよろしくお願いいたします。
説明会の進行を担当させていただきます、nanakusaの営業とマーケティングを担当していますなかだ(?)と申します。
この度は皆様にご心配をおかけしまして大変申し訳ございませんでした。深くお詫びします。
代表
申し訳ありません。
進行
そして(画面)上におりますのが代表の高です。
代表
この度は本当に皆様にご心配をおかけして申し訳ございませんでした。本日はしっかりと説明させていただきたいと思いますので、最後の質疑応答も、不安がすべて解決するまで、なるべく時間内に解決できるようにしっかりとお答えしたいと思っていまうすのでよろしくおねがいします。
進行
本日は2部制になっておりまして、最初に20分ほどお時間をいただきまして今回のNFTが流出した原因と対策、そして今後の方針についてご説明させていただければと思っています。
そして最後に時間の許す限り質疑応答に移らせていただければと思います。
どうぞよろしくおねがいします。
先程もお伝えしましたチャット機能、もしくは質疑応答はご自由にしていただきまして、その際にお名前や会社名などは伏せていただいても構いません。また、途中退場もご自由にしていただいて結構です。最後に、注意事項としましては今回のウェビナーは今後のために録音もさせていただきます。それでは始めさせていただきます。よろしくおねがいします。
まず基本的に今回は皆さん誰でも入っていただいて結構なのですが、主にクリエイター、ユーザー様向けに今回のNFT流出に関するお詫び、並びに説明会になっておりますので、そういう内容であることをご承知のほどよろしくおねがいします。
では最初に代表の高より、挨拶並びにお詫びとなります。よろしくおねがいします。
代表
この度は弊社が運営するNFTマーケットプレイスnanakusaにて、ご利用者のウォレットアドレスが所有するNFTの一部が外部に流出してしまうという事案が発生してしまいました。
NFTマーケットプレイスを運営する中で一番に起こってはならない事案だと、我々チーム一同会社一同深く受け止めております。
被害に合われた方々やご利用いただいている方々、弊社関係各社に本当に多大なご迷惑おおかけしたことを深くお詫び申し上げます。
申し訳ございませんでした。
現在の対応についてご報告いたします。後ほど詳細はまたお伝えしますけれども、まずは原因の特定と二次被害の防止をしておりまして、恒久対策に向けた改修と検証を今同時に全社で行っております。
あとはサービスの再開に向けては外部セキュリティのシステムの導入の準備なんかも今数社問い合わせをしていて準備を行っております。
今後このような自体が二度と起こらないように対策をしっかりと施して、皆様にもそれがしっかりと伝わるよう準備いたします。
引き続き、nanakusaをご愛顧いただけますようお願い申し上げます。
進行
それではまず最初に流出の原因、概要から、時系列を追ってご説明させていただきます。
まず、NFTの流出の原因について私の方から説明させていただきます。
通常NFTを購入処理をするときに権限を生成するプログラムがありますがこちらに対してハッカーがクラックを実行しまして、不正に取得されてしまいました。結果、通常NFTには販売価格というものがあるのですが、それを無視して最低の1weiという金額で、タダ同然でNFTの所有権が移動されてしまったというのが今回の事案になります。
流出の件数は合計36件、チェーンで言いますとEthereumが2件、Polygonが34件。
流出したアドレス数は合計17件、これはクリエイター、そしてパートナーも入っております。
後ほど皆さん、Twitter等で見られたかもしれませんが、当日の19:20頃にすべてのNFTが返却されたということを確認しております。
ただし、我々として今後の対応をしっかりしなければいけないということで、その時何をしたかといいますと、クラックされたプログラムのルールを一部変更して、即座に再実行ができないように対処しました。そして、その(攻撃者の)アドレスは特定していますので、Etherscan、PolygonscanでReportをしてフラグを立てております。
そして、関係各位、クリエイター様ユーザー様そして皆様にSNS、Discord、そしてコーポレートページを通じてご報告させていただきました。
そして9月5日、より安全を確保するために弊社のサイト nanakusa.io をメンテナンスモード(20210907 23:27時点 Archive)に切り替えております。
ちょっと見づらくて申し訳ないですが、まず我々がこの事案について発見したのが9/3。その前に8/21に一度テスト(攻撃があったこと)をEtherscanで確認しております。
そして8/28にPolygonでハッキングが開始されております。
そして我々が気づいたのが9/3 11:30、疑いがあるということで調べた所、これはハックされているということがわかりました。2時間後の13:27にTwitter、Discordを中心に初期アナウンスをして、クリエイターの皆様にもご連絡させていただきました。
そしてもちろん安全性を保つために、出品購入の一時販売制限をさせていただきました。
そこから各所にご説明と対策を練っているところで、3日の19:20に、すべての所有権が、NFTが戻った、返却した(された)ことを確認しております。
ただし我々としてはシステムの改修なり、しっかりと安全を保てるように、nanakusaを改善することを目標に、当初は9/5の復旧目処を目指して進めておりました。同時に今回その夜に21:00、今回被害にあったクリエイター様に説明会をしまして初期対応をして、今回のパートナーに関しましてはSushi Top Shotが主なパートナーでしたので、そのパートナーのユーザーに呼びかけてメールでご連絡させていただきました。
次の日の4日に関しましてはお昼にShushi Top Shotチームと競技しまして、NFTオークションを延期するという決断をしました。
そしてその後、今後のアナウンスをして、クリエイター様にも再度ご説明の説明会を開いております。翌日9/5 12:00にnanakusa.ioの全機能を停止しましてメンテナンスモードに移らせていただきました。これによって外部からの侵入を極力防げるようにしています。
そして本日7日11時に恒久対応に向けた1次対応として原因プログラムの完全停止をしております。
そして本日の20時、説明会を開かせていただいております。
今後に関して、恒久対応及び検証を進めながら、18日を目処にサービス再開を目指しております。
そしてそれが終わりましたら、皆様にどういう事案であったかということをレポート開示できればと思っております。
チャートがありまして、我々の中では4項目、nanakusaの全体の流れと、説明会、そしてスマートコントラクトの安全性を考慮して何をしているか、そして外部からのセキュリティ監査、の4項目が今回の大きな流れだと感じていまして、まず9/3に流出が発見され絵t1次販売購入制限を掛けて改修を行っております。そしてクリエイター様やユーザー様に向けて説明会を実施しております。
そして4日、Sushi Top Shotのオークション延期、クリエイター様、パートナー様向けの説明会をもう一度開催しております。
5日、さらにセキュリティ、外部監査を複数安全を保つために交渉しておりまして、ここから外部のサービスを取り入れられるように進めております。そして12:00からメンテナンスに付き全機能停止になっております。再開の目処は18日となっております。
追ってですね、今回の説明会に参加できない方もいらっしゃるかもしれません。その方向けに動画ならびにDiscordで説明できたらと思っております。
それでは簡単ではありますけれどもこれまでの原因と時系列をお話させていただきましたが、ここからは代表の高から、今後についてどんな作業があるかということをご説明させていただけたらと思います。
代表
では私がお話させていただきます。まずnanakusaでNFTを出品したことがある方々の作業についてということで、昨日の夜この説明会に向けて、そういったことをお願いするつもりでこの説明会を準備して、その作業についても色々と手順等々準備しておりました。
こちらについてお話させていただきます。
今回流出してしまった原因の恒久対応に向けて、過去にnanakusaでNFTを出品したことがある、あるいはNFTを出品中のアドレスの所有者には、nanakusaでNFTの出品許諾設定を解除してもらう作業をお願いする予定でした。
こちらの出品したことがある方々は手順としては踏んでいたのですけれども、我々に出品の許諾設定のような設定がじつはありまして、それを実は皆さんして頂いています。これを自ら解除していただかないといけない状況になっていたんですね。
しかし、本日までに我々の対応の中で、そのような作業が不要となるような対策も本日午前中に対策を講じることができましたので、何らか作業をやっていただくことはまずは不要になったということで、いま現時点で皆様のNFTがまた流出しているのではないかとか、再開に向けて何かやらないといけないんじゃないかということは全くございません。
ただし、9/18にサービス再開を目指しておりますが、再開後に改めてNFTの出品許諾設定を行って頂く必要がございます。
こちらについては前回も実は皆さん覚えていない方々もいるかと思うのですけれども設定時にGas代というものが発生していたんです。
今回許諾設定済みのユーザーの方々は、サービス再開後に出品するには改めて許諾設定用のGas代が発生してしまいますので、そちらのGas代は皆様ご自身の負担ということにならざるを得ないということで、その一点は本当に深くお詫び申し上げます。申し訳ございません。
こちらが今回作業する予定でしたけれども要らなくなりましたというご説明です。
では続けます。FAQ的なまとめだったり、今から質疑応答入る前にもう少しお話しておきたいことをまとめました。
今回の対象範囲ですけれども、nanakusaで出品中のNFT、ERC721トークンのみが対象となっておりました。それ以外に、所有しているNFTであったり所有している暗号資産、ERC-20トークンについては、被害を受ける可能性は全くございません。そこはご安心ください。
あと出品したことはないけれどもサインインしたことがあるウォレットはどうなのかということですけれども、こちらはnanakusaにサインインしただけのウォレットは何ら影響はございません。再開後も通常通り、サインインの必要がございますがご利用することができます。
また流出してしまうリスクは、というところは、今回脆弱性を疲れた箇所については強固な実装へ改修し検証中でございます。その他箇所においてもすべての処理を見直しております。現時点のところ、今回発覚したマーケットの部分しかございませんが、引き続きメンテナンス期間中に改めてすべての処理を見直して必要な所があればしっかりと強固な実装に改修します。
それに合わせて今後に向けて外部監査サービスなども導入してより一層のセキュリティ強化を図りたいと思っています。
次に流出してしまったNFTの扱いについて、こちらは先ほど説明させていただいたとおり、流出した既にNFTは攻撃された方から所有者に変換しております。ただ、その後、NFTを出品するか否かは、こちらはいわゆる攻撃者のウォレットアドレスに一回渡ってしまたという所有履歴が一生涯残ってしまうデータ、NFTになってしまいますので、そういったNFTに関してのポリシーですとか、それぞれのクリエイターの方々、出品者の方々のお考えも個々に違うと思っておりますので、今回対象となった17名の方々にはその辺をしっかりと説明して、コミュニケーションを取って個別に対応していきたいと思っております。
私からの説明は以上になります。
進行
では少し予定より早くなりましたけれども皆様に質問がありましたらチャット欄でもQ&Aでももしくは上がってきていただいてでも良いです、この際に聞いておきたいことがありましたらぜひよろしくお願いいたします。
ではチャット欄に
今回権限を生成するプログラムをクラックとありますが、サーバーサイド上の署名を生成するプログラムが侵害された、スマートコントラクトのリバースエンジニアリングによる署名生成アルゴリズムの再現・悪用された、のどちらでしょうか。
代表
こちら僕の方で回答しますね。まず先に、詳しい原因に関しては第2第3の攻撃者が生まれてしまう可能性があるので申し上げませんが、詳細はちょっとお伝えできませんけれども、この質問はブロックチェーンの技術にある程度知見がある方からの質問だと思いますので、ある程度お答えしますと、どちらかと言うと、状況的な話からすると、1番に近い状況であったというふうにしか言わざるを得ないです。
サーバーサイドの署名用プログラムが侵害されたに近い状況だったかなと思っております。
ただ、合わせてスマートコントラクト側にもこのままの実装ではより、また危険になってしまう部分もございましたので、そこも合わせて見直しをしております。
すみません、詳しくはまだ伝えられないところがあるのですけれども。
すみません、チャットですと質問と内容が入り乱れてしまうのでQ&Aで頂いたほうが回答しやすいかもしれません。
進行
一応チャットから質問が来ておりますので、次行きますね
NFTが返却された理由はなぜだと思われますか。ハッカーと運営側でなにか交渉ができたのでしょうか
代表
今回の攻撃された方から何ら問い合わせだったり犯行声明というか、我々に対するメッセージはございませんし、我々からなにか交渉するようなこともございませんので、なぜ返却されたかというのは皆様もそれぞれいろいろな憶測があると思います、ホワイトハッカー的な行動だったのか、ご自身の腕試しだったのか、我々に対する何らかの思いがあってやっていたのか、などなど様々な憶測があると思いますが、はっきりしたことはないので、ちょっとお答え致しかねます。というか、答えを持っていません。すみません。
今回流出が判明した経緯をご教示いただければと思います。例えば、貴社の定期的なチェックであるとか、(聞き取れず)
こちら最初に判明した経緯は、出品しているクリエイター様からの問い合わせからチェックをしたのが最初の判明した経緯でございます。
こちら、我々が今後セキュリティチェックをするというところの一つにもなるのですけれども、出品しているNFTのトランザクションの監視の部分が、してはいたんですけれども一部甘いところがありましてもともとはこのプログラムは正規の動きをして実行されてしまったので、そこに対しての検知がうまく取れず、我々の中での発見が遅れてしまったと。実際に出品していたクリエイター様は自身が出品していた価格が入っていないにもかかわらずNFTが別の人に渡っているというのがございましたので、そこで問い合わせから、我々のほうが発見したということになります。
では次に行かせていただきます。
nanakusa OEMパートナーに対する対応とそのスケジュールを教えて下さい
そうですね、我々は今OEMのソリューションも展開しておりまして、そういったところから、そういった方々ともコミュニケーションを引き続きとっていきたいと思っています。今回の対応に関しては、もちろん引き続きですね、OEMのパッケージにももちろん適用させていただき、より強固な形で、今回発生してしまったことが二度と起きないような形で改めてお渡しできると思っております。
そのスケジュールに関しては実際の再リリースを目指している9/18を予定しております。
Discordでも質問していますが、11時の改修までは出品していたもしくは出品したことのあるNFTが許諾設定を解除しておかないとハッキングされる可能性が残っていたという理解でよろしいでしょうか
一時的に署名のルールを変えて履いたのですが、この質問に関して言うと、許諾設定の解除を行わない限り、改めて新たなハッキングが来たときにはそういった部分で、NFTが流出してしまう可能性が0ではなかったというのは正直ございます。
ただ我々はそこからトランザクションを常に発覚以降監視しておりまして、プログラムの、サーバーの管理ですとか、侵入のチェックですとか、そういったものを常に監視していながら、今回の改修ですね、サービス再開に向けて、各ユーザー様がなんのストレスもなく、作業もなく、うまくきれいに再開できるという両方の軸で、いろいろな対策を講じていたというところがございます。
そういったところでは、ご理解よろしいでしょうかということですけれども、完全に脆弱性が残っていたかと言うと、一部残っていたところはありますが、そこに対して発覚する状況と同じ状況ではなかったというのが回答になります。しっかり監視は24時間続けていました。
NFTマーケットがハッキングされたのは世界初ですか
こちらは特に今回の我々の事案に関する質問ではないのですみませんがこちらはお答えしないでおかせてください。すみません。
今回の脆弱性は現在提供されているOEMにも存在するという認識でよろしいでしょうか
はい、こちらに関してはいま現状OEMに存在する認識で間違いございません。ただ我々のOEMパートナーが正式なリリースをしているものはございませんので、そこから二次被害等は現状はございません。
進行
チャットの方はなくなったのでQ&Aの方に移らせていただきます。ありがとうございます。
今後再出品するにあたって当初はGas代を補填するとおっしゃっていましたが、先程の説明ではアーティスト側の負担になるということになったという結論でよろしいでしょうか。
代表
こちらは、ご理解がそうではないと思っていまして、今回流出してしまった36件、17名のNFTはもともと出品するためにGas代を支払っていたので、そのGas代を補填するという意味です。そういった意味ではアーティスト側の負担になるということに関しては我々はアーティストとその出品をしていた方々が当時出品するために使ったGas代はすべて補填を個々に連絡をとって対応をする予定でございます。
進行
いま各クリエイター、ユーザー様にご連絡をしていますので、一人ひとりに真摯に対応させていただきますのでよろしくお願いします。
そして次ですね
今回の事案を業界内で知見共有されるようなことはありますでしょうか。国内マーケットが次々出てくる中でそれらへの不安を覚えています。
先程一部お伝えさせていただいたんですけれども、これが終わりましたら、そして全てが安全とみなされましたら、知見として、レポートを出させていただきます。どのように出すかは追ってご案内となりますけれども、これはご報告させていただきますので、どうぞよろしくお願いいたします。
代表
こちらはしっかりと出させていただきます。付け加えると、知見の共有というところも我々はそこの指名もあると認識しておりますので、しっかりとそこはお伝えしたいと思っています。
進行
そういった面でですね、皆様に色々なご意見等いただきまして、それも糧となって我々更に強固なシステムを作ることになっていますので、本当にありがとうございます。我々今回4月に正式ローンチしましてはや5ヶ月ですけれども、より一層、セキュリティシステムの大事さを痛感しております。外部のシステムも入れますし自分たちのところももう一回見直すことになりました。まだまだ未熟かもしれませんけれども日々皆様に納得いただけるようなサービスに努めますのでどうぞよろしくおねがいします。
代表
先程の回答でサーバーサイドでのハッキングという話がございましたが私自身nanakusaのマーケットは完全にオンチェーンで行われると思っております。
サーバーサイドのハッキングの可能性があるという話です、決めつけて頂いてほしくはないのですけれども、そこに関してはオンチェーンとオフチェーンの定義の話だと思います。我々はすべてNFTはNFTのデータをすべてオンチェーン上で扱っていますので、そこに関しては我々はフルオンチェーンのNFTマーケットということです。そしてオフチェーンで行われているというのは、例えばオフチェーンで管理する情報というのは、NFTの販売価格ですとか、そういったものは、あとはロイヤリティですね、オフチェーンで保持しています。
こちらで回答になっているでしょうか。そういった意味で一部の出品管理はオフチェーンで行われているというのはそういうことです。
こちらは、海外のオンチェーンマーケットプレイスすべてが同じ仕様になっているはずです。
次行きます
Twitterでも質問していますが、今回ハッキングということで警察への被害届けなどは出されないのでしょうか?
今回関係各省庁への通報と言うかお話はしておりまして、もちろん各省庁であったり警察と言った所への届け出に関しても我々の弁護士としっかりと協議しております。
今回警察の方もそうですし関係各省庁であったりこういった情報公開も含めてまずはしっかりと何が起きたか先に説明するのを優先させていただきたいのと、これをもっと大きくすることによる影響等も含めて、我々の中では弁護士と様々なパターンをシミュレーションして検討しているということになっております。
進行
ありがとうございます。チャットも見てみましょうか。大丈夫そうですね。いまQ&Aに集まっているということで。それでは、もし何もなければ最後に代表の高から、ご挨拶として最後に締めくくりをいただきまして今回のウェビナーは終了させていただきたいと思います。
代表
今日このお話はすべてアーカイブで改めて動画にして皆さんが見られるようにして出します。そこにまた引き続きQ&A等がありましたら受け付けるようなフォームを改めて設けてTwitterや公式でしっかりとアナウンスしたいと思っておりますので、そちらでまた何かあればお話をいただければと思います。
最後に改めまして、今回我々国内ではおそらく初めてとなるであろうNFTの流出事件が起こってしまったということでですね、本当に国内におけるNFTやDeFiであったりブロックチェーンの様々なサービスがより一般化しつつあるタイミングで本当に僕ら自身水を指してしまうようなこの業界発展に大きく心配をかけてしまうような事案を発生させてしまったということは本当に深く受け止めております。本当に申し訳ございませんでした。
進行
申し訳ございませんでした。
代表
この話は先程Q&Aにありましたけれども国内のマーケットプレイス、その他国内のNFT事業だったりそういったものを利用している方々にも事案として共有してこういったことが他社では起きないような形で貢献していきたいと思っておりますので、すみませんけれども、しばらくそういったところで、nanakusaが再開したときには、再びご利用していただけますよう、お願いいたします。
私の話は以上になります。今日はありがとうございました。
進行
皆様貴重な20時からのお時間、どうもありがとうございました。引き続きどうぞ、nanakusaをよろしくお願いいたします。
それでは失礼いたします。