ハッキングにより流出した資金を一部回収
大手暗号資産(仮想通貨)取引所バイナンスは22日、NFTゲームAxie Infinity(アクシーインフィニティ)から不正流出した資金の一部を取り戻したと報告した。
バイナンスのCEO、Changpeng Zhao(CZ)氏が以下のようにツイートしている。
The DPRK hacking group started to move their Axie Infinity stolen funds today. Part of it made to Binance, spread across over 86 accounts. $5.8M has been recovered. We done this many times for other projects in the past too. Stay #SAFU.
— CZ 🔶 Binance (@cz_binance) April 22, 2022
北朝鮮のハッキンググループは今日、アクシーインフィニティから盗んだ資金を動かし始めた。その一部がバイナンスの86以上のアカウントに分散されて送信された。私達は約7.5億円(580万ドル)を回収した。
バイナンスは過去にも、他のプロジェクトからの流出資金を回収している。
背景として、ゲームのエコシステムから3月23日に、約760億円の仮想通貨が不正流出したことがある。このため、今回回収された資金は、盗まれた額全体と比べてわずかな部分だ。
なお、アクシーインフィニティの開発スタジオSky Mavisは、影響を受けたユーザーに全額償還することを約束している。補償のために、約185億円の資金調達を行い、バイナンスがこれを主導していた。
関連:不正流出受けた「アクシーインフィニティ」、アップグレード版の発表を1週間延期
アクシーインフィニティとは
NFTのキャラクターを育成したり戦わせたりするゲーム。ベトナムのゲームスタジオSky Mavisが開発。
プレイヤーがゲームで仮想通貨を獲得し、それを現地の法定通貨に変換できる「Play-to-earn」という仕組みが備わっており、フィリピン、インドネシア、ブラジルなどの国々で21年夏に参加者が急増。ゲームに参加するには、最初にNFTキャラクターを入手するためにETHを支払う必要がある。
▶️仮想通貨用語集
CZ氏も言及したように、米財務省は14日、今回のハッキングが北朝鮮のハッカー集団ラザルス(Lazarus)によるものだったと突き止め、グループの仮想通貨アドレスを制裁対象リストに加えている。
関連:米財務省、Ronin資金流出の背景に北朝鮮のハッカー集団を特定
セキュリティ強化で報奨金プログラムも開始
Sky Mavisは、ハッキングの原因となったのは、小さなバリデータセットであったと述べている。対策として、今後3か月間のうちに、バリデータを5個から21個に増やす予定だ。
また、Sky Mavisはバグ報奨金プログラムも開始した。公式発表で、次のように説明している。
Sky Mavisは、コミュニティと協力して、すべてのバグの発見が公平に報われるようにしたいと考える。報奨金については、その脆弱性が事業へ与える影響や、全体的な重大性に基づいて支払われるようにしたい。
極めて深刻な問題、重要な問題の発見に対しては、最高で約1.3億円(100万ドル)の報酬が与えられる可能性もある。
Sky Mavisの裁量により、追加の報酬ボーナスを授与することもあるという。
発見を優先するバグとしては、ユーザー認証エラーや脆弱な暗号化、安全でないオブジェクトの直接参照やその他様々な項目が挙げられた。
