NFT鋳造方法を悪用
人気NFT(非代替性トークン)のCryptoPunksで知られるLarva Labsの新プロジェクト「Meebits」で、トークンの鋳造(ミント)工程が人為的に操作されていたことがわかった。
Meebitsは先週4日にリリースされたばかりで、メタバース(仮想通貨)やゲーム、VRなどのアバターとして発足した新プロジェクト。2万点のユニークな3Dキャラクターから成っており、そのうちの9,000点は先行販売開始後、8時間で完売する人気ぶりを見せた。売上高は95億円相当に相当する2万2,500ETHを記録した。
すでに2DのCryptoPunksからコミュニティから定評があったため、Meebitsはリリース直後から高い注目を集めたと言えるだろう。
Meebitsと呼ばれる3Dの「ボクセル」キャラクターがアルゴリズムによって作成され、イーサリアムブロックチェーン上で鋳造される仕組みだ。(ボクセルとは「ピクセル」と「ボリューム」を掛け合わせた造語)。所有者は、自分のMeetbitをレンダリングしたり、ダンスなどの動作をさせることもできる。
関連:「3次元仮想世界(メタバース)へようこそ」CryptoPunks開発会社、新NFTプロジェクトMeebitsをリリース
Larva Labsはこれまでリリースした「CryptoPunks」や「Autoglyphs」のNFT所有者にはMeebitsの無料配布を告知。攻撃者は、MeebitsのNFTの鋳造(ミンティング)工程の抜け道を悪用して、より希少なキャラクターを獲得するまで、コントラクトの申請と取り消しを繰り返した模様だ。
ミンティング方法の悪用を受け、Larva Labsは、コミュニティによるNFT鋳造と取引を一時中断を発表。原因は、まだ鋳造されていないMeebitsのIDがリークしていたことだったと説明した。なお、NFTを獲得するためのコントラクトおよびMeebitsの安全性や取引機能に問題はないという。
攻撃を予告
Meebitsのコントラクトを悪用し、レアキャラを入手したのは、ツイッターネーム「0xNietzsche」。攻撃を予告する中で「毎時30万ドル」の利益をあげられると吹聴していたが、ツイートは現在では削除されている。
Meebitsのコントラクトには、個々のMeebit IDの特徴が記された圧縮されたIPFS(分散型ファイルシステム)が含まれていたという。0xNietzscheはリーク情報に基づいて、自分が手に入れたいMeebitが発見されるまで、ミントを開始しては、取引を元に戻すプロセスを繰り返したという。
Etherscanのアドレスには合計345件の取引が記録されているが、そのほとんどが「ロールに失敗」=取り消された取引で、最終的に、0xNietzscheはMeebit16647「Visitor」を獲得。その後、このレアなNFTを200ETH(約8,500万円)で売却している。
1) Decorate dining room
— Pranksy 📦 (@pranksyNFT) May 8, 2021
2) Buy visitor #Meebit for 200 ETH after discord tagging
3) Crypto Twitter explodes after @larvalabs vulnerability found then halted and then article on @Cointelegraph
4) Sell visitor #Meebit for 299 ETH
5) Do washing up
Just another day in #NFTs pic.twitter.com/mJgDVvr1g6
購入したのは、NFTコレクターのクジラと呼ばれるPranksy氏。さらにPranksy氏は、購入したNFTを299ETH(約1億2,700万円)で売却。
同氏はMeebitプロジェクトの脆弱性が判明後、ツイッターで話題が炎上、さらに仮想通貨メディアでも取り上げられたことで、Meebit16647の価値が高まったと考えているようだ。
Larva Labsの通達
コミュニティ向けのMeebitsの無料配布期間は5月10日までだが、開発者によるとほとんどの対象者はNFTの鋳造を終えているという。そのため、まだ鋳造を終えていないメンバーには、CryptoPunksとAutoglyphsのNFTの所有権を証明する書式を提供し、他の鋳造プロセスと同様、Larva Labsがコントラクトを利用してMeebitを鋳造すると説明している。
全てのMeebitの鋳造完了後に、Meebitsのコントラクトおよび取引が再開されることになる。
