OpenSea、バグ報告者2名に約3,000万円の報奨金を支給

OpenSeaでバグの報告

NFT（非代替性トークン）電子市場大手OpenSeaが、過去10日間でホワイトハッカー2名に計2,890万円（20万ドル）の報奨金を支払ったことが明らかになった。

サービス側が調査要件を公開し、ホワイトハッカーがバグ（脆弱性）を発見・報告する「バグバウンティ（バグ報奨金制度）」が機能しているようだ。

OpenSeaのスマートコントラクトに2つのバグが別々に発見され、それぞれバグバウンティ・プラットフォーム「HackerOne」で報告された。2人のバウンティハンターにはそれぞれ1,450万円（10万ドル）ずつ報奨金が支払われた。

この金額はOpenSea本体のスマートコントラクトに対するバグバウンティの中で、最重要ランク「クリティカル」に該当する。

I'm uncomfortable tweeting stuff like this out, but…

I found a critical vulnerability in @opensea this weekend and reported it through @Hacker0x01.

They fixed the issue within 3 hours of reporting and I just got this notification👏🫢 pic.twitter.com/od6EFA5KSb

— Corben Leo (@hacker_) September 26, 2022

1人目のホワイトハッカーは、ブロックチェーンセキュリティ企業ZellicのCorben Leo最高マーケティング責任者。同氏はOpenSeaの重大なバグ（脆弱性）を発見し、26日に約1400万円（10万ドル）を受け取ったという。

このバグがそのまま放置されて悪用されていたら、OpenSea上の資産が盗まれていた可能性があったと、Leo氏はCoinPost提携メディアThe Blockに語っている。

Impressed by @opensea's commitment to security. 👏

I discovered a vulnerability on https://t.co/YQXXfgZBG4 and reported it through @Hacker0x01. In less than 12 hours they had triaged, reproduced, patched, and awarded me a sizable bounty! pic.twitter.com/Xgv2VGfrW5

— nix.eth (@nix_eth) September 20, 2022

もう一人のホワイトハッカーはNix（偽名）と名乗り、OpenSeaが9月19日に別の重要な脆弱性を報告して10万ドルの報酬を得たという。Nixは「脆弱性報告やその周辺の詳細は機密事項」として詳細は語っていない。

バグバウンティの成果

どちらのケースもOpenSeaの修正作業は3～12時間以内に完了したという。OpenSeaの広報担当者はThe Blockに対して報奨金支給の事実を認めており、HackerOneを介した報奨金プログラムが狙い通り機能していると自信を示した。

HackerOneによると、OpenSeaは脅威の深刻さに応じて段階的に報奨金を設定している。5月にリリースしたばかりのNFT（非代替性トークン）売買プロトコル「Seaport」であれば、重要度により報奨金は1,000ドル～最大300万ドルに跳ね上がる。

関連：OpenSea、新たなNFTプロトコル「Seaport」をローンチ

HackerOneの競合サービスとしては「ImmuneFi」があり、Synthetix、Chainlink、SushiSwap、PancakeSwap、Compound、Optimismといった有名プロジェクトと提携しており、22年1月までに総額10億円以上の報酬をバグ発見者に支払ってきた。

9月にはレイヤー2（L2）スケーリングソリューションのArbitrumと、暗号資産（仮想通貨）イーサリアム（ETH）のブロックチェーン間のブリッジに「バグ（脆弱性）」が検出され、ホワイトハッカーに400 ETH（約7,700万円）が支払われていた。

関連：Arbitrumでバグ検出、報奨金400ETHを支払い

関連：イーサリアムL2ソリューションOptimism、重大バグの修正を報告