SBINFT、マーケットプレイス『nanakusa』のNFT流出に関する報告書を公開

SBINFTは、本日(10月8日)、同社が運営するNFTマーケットプレイス『nanakusa』において発生した NFT 流出に関する報告書を公開した。

本件は2021年8月21日から9月2日にかけて、利用者のウォレットアドレスにて所有する一部 NFTが、外部に流出し、その後返却された事案となる。



流出の原因はNFTの購入処理を実行する権限を生成するプログラムに不正アクセスがなされ、実行権限が不正に奪取されたことが直接的な原因となったようだ。その結果、販売価格を無視した価格で購入を実行したことで、無償同然で NFT の所有権が移動されたとのこと。

根本的な原因としては、実行権限取得の暗号化アルゴリズムの複雑性が不足していたため暗号化アルゴリズムに不正アクセスがなされ、一部の実行権限が奪われたことによるものとしている。

そのため同社では「秘密鍵の暗号化アルゴリズム強化」「ACL 強化による、実行権限の制限」「暗号強度そのものの複雑化」といった不正アクセス対策を行っている。さらにトランザクション監視システムの導入も行った。

今回の公開にあたって同社は「グローバルでの NFT ビジネスに与える影響を鑑み、情報の透明性を図ることが弊社の社会的使命と認識し、今回の事案について可能な限り情報公開いたします。」とコメントしている。

さらなる詳細は以下から確認できる。

・2021 年 9 月 3 日に発生した NFT 流出に関するご報告書(PDF)
https://smartapp.co.jp/wp-content/uploads/2021/10/report_20210903.pdf