NFT生成の抜け穴を悪用か、7600万円相当のレアキャラが不正流出

NFT鋳造方法を悪用

人気NFT（非代替性トークン）のCryptoPunksで知られるLarva Labsの新プロジェクト「Meebits」で、トークンの鋳造（ミント）工程が人為的に操作されていたことがわかった。

Meebitsは先週4日にリリースされたばかりで、メタバース（仮想通貨）やゲーム、VRなどのアバターとして発足した新プロジェクト。2万点のユニークな3Dキャラクターから成っており、そのうちの9,000点は先行販売開始後、8時間で完売する人気ぶりを見せた。売上高は95億円相当に相当する2万2,500ETHを記録した。

すでに2DのCryptoPunksからコミュニティから定評があったため、Meebitsはリリース直後から高い注目を集めたと言えるだろう。

Meebitsと呼ばれる3Dの「ボクセル」キャラクターがアルゴリズムによって作成され、イーサリアムブロックチェーン上で鋳造される仕組みだ。（ボクセルとは「ピクセル」と「ボリューム」を掛け合わせた造語）。所有者は、自分のMeetbitをレンダリングしたり、ダンスなどの動作をさせることもできる。

Larva Labsはこれまでリリースした「CryptoPunks」や「Autoglyphs」のNFT所有者にはMeebitsの無料配布を告知。攻撃者は、MeebitsのNFTの鋳造（ミンティング）工程の抜け道を悪用して、より希少なキャラクターを獲得するまで、コントラクトの申請と取り消しを繰り返した模様だ。

ミンティング方法の悪用を受け、Larva Labsは、コミュニティによるNFT鋳造と取引を一時中断を発表。原因は、まだ鋳造されていないMeebitsのIDがリークしていたことだったと説明した。なお、NFTを獲得するためのコントラクトおよびMeebitsの安全性や取引機能に問題はないという。

攻撃を予告

Meebitsのコントラクトを悪用し、レアキャラを入手したのは、ツイッターネーム「0xNietzsche」。攻撃を予告する中で「毎時30万ドル」の利益をあげられると吹聴していたが、ツイートは現在では削除されている。

Meebitsのコントラクトには、個々のMeebit IDの特徴が記された圧縮されたIPFS（分散型ファイルシステム）が含まれていたという。0xNietzscheはリーク情報に基づいて、自分が手に入れたいMeebitが発見されるまで、ミントを開始しては、取引を元に戻すプロセスを繰り返したという。

Etherscanのアドレスには合計345件の取引が記録されているが、そのほとんどが「ロールに失敗」＝取り消された取引で、最終的に、0xNietzscheはMeebit16647「Visitor」を獲得。その後、このレアなNFTを200ETH（約8,500万円）で売却している。

1) Decorate dining room
2) Buy visitor #Meebit for 200 ETH after discord tagging
3) Crypto Twitter explodes after @larvalabs vulnerability found then halted and then article on @Cointelegraph
4) Sell visitor #Meebit for 299 ETH
5) Do washing up

Just another day in #NFTs pic.twitter.com/mJgDVvr1g6
— Pranksy 📦 (@pranksyNFT) May 8, 2021

購入したのは、NFTコレクターのクジラと呼ばれるPranksy氏。さらにPranksy氏は、購入したNFTを299ETH（約1億2,700万円）で売却。

同氏はMeebitプロジェクトの脆弱性が判明後、ツイッターで話題が炎上、さらに仮想通貨メディアでも取り上げられたことで、Meebit16647の価値が高まったと考えているようだ。

Larva Labsの通達

コミュニティ向けのMeebitsの無料配布期間は5月10日までだが、開発者によるとほとんどの対象者はNFTの鋳造を終えているという。そのため、まだ鋳造を終えていないメンバーには、CryptoPunksとAutoglyphsのNFTの所有権を証明する書式を提供し、他の鋳造プロセスと同様、Larva Labsがコントラクトを利用してMeebitを鋳造すると説明している。

全てのMeebitの鋳造完了後に、Meebitsのコントラクトおよび取引が再開されることになる。

CoinPost App DL