OpenSea、バグ報告者2名に約3,000万円の報奨金を支給
OpenSeaでバグの報告
NFT(非代替性トークン)電子市場大手OpenSeaが、過去10日間でホワイトハッカー2名に計2,890万円(20万ドル)の報奨金を支払ったことが明らかになった。
サービス側が調査要件を公開し、ホワイトハッカーがバグ(脆弱性)を発見・報告する「バグバウンティ(バグ報奨金制度)」が機能しているようだ。
OpenSeaのスマートコントラクトに2つのバグが別々に発見され、それぞれバグバウンティ・プラットフォーム「HackerOne」で報告された。2人のバウンティハンターにはそれぞれ1,450万円(10万ドル)ずつ報奨金が支払われた。
この金額はOpenSea本体のスマートコントラクトに対するバグバウンティの中で、最重要ランク「クリティカル」に該当する。
1人目のホワイトハッカーは、ブロックチェーンセキュリティ企業ZellicのCorben Leo最高マーケティング責任者。同氏はOpenSeaの重大なバグ(脆弱性)を発見し、26日に約1400万円(10万ドル)を受け取ったという。
このバグがそのまま放置されて悪用されていたら、OpenSea上の資産が盗まれていた可能性があったと、Leo氏はCoinPost提携メディアThe Blockに語っている。
OpenSeaのWebサービスに影響を与える脆弱性だった。このバグによって、攻撃者がOpenSeaのインフラを危険にさらすことができた。
もう一人のホワイトハッカーはNix(偽名)と名乗り、OpenSeaが9月19日に別の重要な脆弱性を報告して10万ドルの報酬を得たという。Nixは「脆弱性報告やその周辺の詳細は機密事項」として詳細は語っていない。
バグバウンティの成果
どちらのケースもOpenSeaの修正作業は3~12時間以内に完了したという。OpenSeaの広報担当者はThe Blockに対して報奨金支給の事実を認めており、HackerOneを介した報奨金プログラムが狙い通り機能していると自信を示した。
我々は、コミュニティがこのプログラムに関与していることを嬉しく思う。21年10月のプログラム開始以来、当社の平均応答時間とパッチ時間(コード変更にかかる時間)は格段に早くなっている。
HackerOneによると、OpenSeaは脅威の深刻さに応じて段階的に報奨金を設定している。5月にリリースしたばかりのNFT(非代替性トークン)売買プロトコル「Seaport」であれば、重要度により報奨金は1,000ドル~最大300万ドルに跳ね上がる。
関連:OpenSea、新たなNFTプロトコル「Seaport」をローンチ
HackerOneの競合サービスとしては「ImmuneFi」があり、Synthetix、Chainlink、SushiSwap、PancakeSwap、Compound、Optimismといった有名プロジェクトと提携しており、22年1月までに総額10億円以上の報酬をバグ発見者に支払ってきた。
9月にはレイヤー2(L2)スケーリングソリューションのArbitrumと、暗号資産(仮想通貨)イーサリアム(ETH)のブロックチェーン間のブリッジに「バグ(脆弱性)」が検出され、ホワイトハッカーに400 ETH(約7,700万円)が支払われていた。
関連:Arbitrumでバグ検出、報奨金400ETHを支払い
ホワイトハッカーとは
プログラムコードに潜むセキュリティ上の脆弱性を特定する個人を指す。ハッカーと異なり、法を遵守して行動する。オープンソースやクローズドソースを問わず活動し、バグバウンティ・プログラムで得たアクセス権を使って発見に至るケースもある。正式には「White Hat hacker」。
▶️仮想通貨用語集
関連:イーサリアムL2ソリューションOptimism、重大バグの修正を報告
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します