NFT盗難事件が急増。被害者がオープンシーを提訴

原告のティミー・マッキミー（テキサス州）とマイケル・バリーズ（ニューヨーク州）は、オープンシー（OpenSea）のコードにある既知のセキュリティー脆弱性を悪用したハッキングのためにボアード・エイプ・ヨット・クラブ（BAYC）のNFTコレクションのエイプを失ったと主張。ロバート・アルミホ（ネバダ州）は、ソーシャルエンジニアリング攻撃で所有するエイプを失ったが、事態が改善されなかったのはオープンシーの過失だとしている。

オープンシーは、取材に対して現段階でコメントを出していない。

マッキミーとバリーズが受けたハッキングは類似しているが、犯人が同一人物かどうかは不明だ。

マッキミーの弁護士であるアッシュ・タジギの説明によると、「マッキミーはNFTを売りに出していなかったが、オープンシーではウォレットを接続する必要があるため、そのウォレットにあるNFTは誰にでも見ることができ、販売リストにないNFTにオファーを出すこともできる。犯人はこのセキュリティーの脆弱性を利用してオファーを出し、コードをハッキングし、マッキミーに代わってオファーを受け入れた。簡単に言えば、自分に対して作品を売り、その後1時間もしないうちに別のユーザーに売ったということだ」

公開されている取引データによると、ハッカーはマッキミーが所有するエイプを0.01ETH（イーサリアム）で自分自身に売り、99ETHで別のユーザーに売った。その後、これらの取引に使われたウォレットは消えている。このハッキングは2月7日前後に発生した。

裁判資料によると、マッキミーは失った資産を取り戻すか補償を受けることを望み、何度もオープンシーに連絡したと主張している。オープンシーは問題を「積極的に調査中」だと伝えたとされるが、マッキミーによればこれまでいかなる申し出も受けていないという。

タジギ弁護士は、NFTクリエーターの著作権に関する案件を受け持ったことがきっかけで、暗号資産やNFTの領域に精通するようになった。今回の訴訟については、「この種の裁判は初めてで前例がない」と述べている。

事件が公になると、タジギ弁護士と同僚のアンドリュー・ダオのもとには、失われた資産に関する法的支援の依頼が殺到したという。

その後、タジギとダオは、同じくセキュリティの脆弱性を突いたハッキング事件で《Bored Ape #8858（ボアード・エイプ#8858）》を失ったマイケル・バリーズの弁護を引き受けることを決めた。この事件では、マッキミーがハッキングされる以前の1月26日に、ハッカーがバリーズのNFTを24.89ETHで自分自身に売り、直後に92.9ETHで転売している。

バリーズとマッキミーは、貴重なNFTを失っただけでなく、BAYCのエイプを所有することで得られるはずだった利益も失ったのはオープンシーの過失だとして訴訟を起こした。

BAYCは最近、独自の通貨ApeCoin（エイプコイン）の発行を発表。エイプの所有者はエイプコインを入手する優先権を与えられたが、マッキミーとバリーズは資産を盗まれていたため対象外となった。タジギとダオは、オープンシーの指示通りに行動するユーザーが被害者となるセキュリティ違反をオープンシーが気づいていたにもかかわらず、そのままにしていたと主張している。

「オープンシーは成長を優先させてきた」

ロバート・アルミホの被害はこれとは異なり、ソーシャルエンジニアリングによるハッキングで《Bored Ape #4329（ボアード・エイプ#4329）》と《Mutant Bored Ape （ミュータント・ボアード・エイプ）》の#1819と#7713を失った。

アルミホは2月1日頃、Cool Cats（クール・キャッツ）のDiscord（ディスコード：チャットアプリ）のチャットルームに入り、自分のMutant Bored Apeと、Cool CatsのNFT数点との交換を提案した。するとあるユーザーが反応し、取引方法についてチャットを始めたという。

裁判記録によれば、アルミホがあるウェブサイトを提案すると相手のユーザーはそのウェブサイトへのリンクを送ってきて、すでに自分のNFTをアップロードしてあるので後はアルミホが自分のNFTをアップロードするだけでよいと説明した。アルミホはリンクをクリックしたが、実はそれは不正なもので、Mutant Bored Ape2点とBored Ape1点、そして暗号通貨が入っているウォレットが流出した。

「この盗難はオープンシーのプラットフォームで発生したわけではない。しかし、アルミホは、犯人が盗んだNFTをオープンシーに出品して、できるだけ早く売ろうとするのではないかと考えた」と、裁判資料には書かれている。アルミホはオープンシーに通報し、自分の資産がアップロードされた時点で凍結され、売却不可能になるよう試みたが、そこには多くの障害があった。

裁判資料には次のように記述されている。「アルミホはオープンシーのカスタマーサービスに連絡するための電話番号を探したが、そのような番号は存在しなかった。そこでアルミホは複数のヘルプチケットを作成し、盗まれたNFTの販売を許可しないようオープンシーに必死で訴えかけたが、要求に対する回答は得られなかった。アルミホは次に、オープンシーのDiscordから連絡を試みた」

アルミホはDiscordに複数のメッセージを投稿したが、何の返答も得られなかった。その代わりに目にしたのは、他のオープンシーユーザーからの投稿で、何日も、あるいは何週間も前にチケットを提出したのに何の回答もヘルプも得られなかったという不満だった。

こうして事件発生直後の重要なタイミングは過ぎてしまい、アルミホはついに、自分のBored Apeがオープンシーにリストされてハッキングの2時間後に売り払われるのを目撃した。ハッキングから4時間後、オープンシーはアルミホのヘルプチケットに対応し、Mutant Bored Ape2点を凍結した。するとハッカーはそれを別のNFTマーケットプレイス、ルックスレア（LooksRare）に出品し、2点ともすぐに売れてしまった。アルミホはルックスレアに対しても訴訟を起こしている。

「オープンシーは、消費者の安全やデジタル資産のセキュリティよりも成長を優先させた」と訴状には書かれている。

訴状では例として、かつてオープンシーが実施していた承認プロセスに言及している。これは、特定のNFT作品をリストに上げる前に、適切な所有者によってアップロードされたことの確認を要求するプロセスだったが、NFT市場が爆発的に拡大した2021年3月に廃止されている。

この審査プロセスを削除して以来、サイト上で盗難が横行し始めた。オープンシーは声明の中で、「NFTが作成・発行されたアイテムの80％以上が盗作や偽物、スパムだった」と認めている。（翻訳：清水玲奈）

※本記事は、米国版ARTnewsに2022年4月11日に掲載されました。元記事はこちら。

RECOMMEND
ブロックチェーンが変えるアート～アートテック最前線