NFT生成の抜け穴を悪用か、7600万円相当のレアキャラが不正流出

NFT鋳造方法を悪用

人気NFT(非代替性トークン)のCryptoPunksで知られるLarva Labsの新プロジェクト「Meebits」で、トークンの鋳造(ミント)工程が人為的に操作されていたことがわかった。

Meebitsは先週4日にリリースされたばかりで、メタバース(仮想通貨)やゲーム、VRなどのアバターとして発足した新プロジェクト。2万点のユニークな3Dキャラクターから成っており、そのうちの9,000点は先行販売開始後、8時間で完売する人気ぶりを見せた。売上高は95億円相当に相当する2万2,500ETHを記録した。

すでに2DのCryptoPunksからコミュニティから定評があったため、Meebitsはリリース直後から高い注目を集めたと言えるだろう。

Meebitsと呼ばれる3Dの「ボクセル」キャラクターがアルゴリズムによって作成され、イーサリアムブロックチェーン上で鋳造される仕組みだ。(ボクセルとは「ピクセル」と「ボリューム」を掛け合わせた造語)。所有者は、自分のMeetbitをレンダリングしたり、ダンスなどの動作をさせることもできる。

関連:「3次元仮想世界(メタバース)へようこそ」CryptoPunks開発会社、新NFTプロジェクトMeebitsをリリース

Larva Labsはこれまでリリースした「CryptoPunks」や「Autoglyphs」のNFT所有者にはMeebitsの無料配布を告知。攻撃者は、MeebitsのNFTの鋳造(ミンティング)工程の抜け道を悪用して、より希少なキャラクターを獲得するまで、コントラクトの申請と取り消しを繰り返した模様だ。

ミンティング方法の悪用を受け、Larva Labsは、コミュニティによるNFT鋳造と取引を一時中断を発表。原因は、まだ鋳造されていないMeebitsのIDがリークしていたことだったと説明した。なお、NFTを獲得するためのコントラクトおよびMeebitsの安全性や取引機能に問題はないという。

攻撃を予告

Meebitsのコントラクトを悪用し、レアキャラを入手したのは、ツイッターネーム「0xNietzsche」。攻撃を予告する中で「毎時30万ドル」の利益をあげられると吹聴していたが、ツイートは現在では削除されている。

Meebitsのコントラクトには、個々のMeebit IDの特徴が記された圧縮されたIPFS(分散型ファイルシステム)が含まれていたという。0xNietzscheはリーク情報に基づいて、自分が手に入れたいMeebitが発見されるまで、ミントを開始しては、取引を元に戻すプロセスを繰り返したという。

Etherscanのアドレスには合計345件の取引が記録されているが、そのほとんどが「ロールに失敗」=取り消された取引で、最終的に、0xNietzscheはMeebit16647「Visitor」を獲得。その後、このレアなNFTを200ETH(約8,500万円)で売却している。

購入したのは、NFTコレクターのクジラと呼ばれるPranksy氏。さらにPranksy氏は、購入したNFTを299ETH(約1億2,700万円)で売却。

同氏はMeebitプロジェクトの脆弱性が判明後、ツイッターで話題が炎上、さらに仮想通貨メディアでも取り上げられたことで、Meebit16647の価値が高まったと考えているようだ。

Larva Labsの通達

コミュニティ向けのMeebitsの無料配布期間は5月10日までだが、開発者によるとほとんどの対象者はNFTの鋳造を終えているという。そのため、まだ鋳造を終えていないメンバーには、CryptoPunksとAutoglyphsのNFTの所有権を証明する書式を提供し、他の鋳造プロセスと同様、Larva Labsがコントラクトを利用してMeebitを鋳造すると説明している。

全てのMeebitの鋳造完了後に、Meebitsのコントラクトおよび取引が再開されることになる。

著者:幸田直子

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します