数多くのデジタル取引を扱う大手プラットフォームにおいて、信頼性と安全性の問題、特に詐欺や盗難は普及を妨げる最大の障壁の1つとなっています。
2022年2月、OpenSeaは、ユーザーを狙ったフィッシング詐欺により、合計32件のユーザーアカウントから総額3.6億円以上(300万ドル)に相当するNFTが不正流出したことを公表しました。
盗まれたNFTには、世界的に人気の高い「Bored Ape Yacht Club(BAYC)」や「Cool Cats」、「Doodles」、「Azuki」が含まれており、高価なNFTコレクションを保有するユーザーが狙われたようです。
OpenSeaが事前にスマートコントラクトをアップグレードすることをユーザーに告知しており、詐欺の犯人はこれを利用して、OpenSeaを偽装した偽メールをユーザーに送付し不正なリンクを踏ませて誘導したという手口でした。
不正なサイトに誘導した後、被害者に不正な契約書に署名するように促し、この署名トランザクションにより、攻撃者はNFTの転送が可能になり、結果NFTの所有権が犯人にトランスファーされました。
そして、OpenSeaはその後、コピーミントの検出と除去システムの拡張に加え、この夏の初めにアカウントの確認とコレクションのバッジングプロセスを更新し、暗号エコシステム全体の最大の課題の1つである盗難に対処しました。
2022年11月3日に、新セキュリティの2ステップを公開しました。
ステップ1 【盗難防止】悪質なURLの検出と削除
NFTの盗難の多くは、無料のミントやその他の(偽の)利益を提供すると称する悪質なウェブサイトにウォレットを接続した後にメッセージに署名するフィッシング詐欺によって発生します。
通常リンクはTwitterやDiscordなど、主にインターネット上に存在しますが、詐欺の犯人も不正なコレクションリストや不要なNFT転送を通じてOpenSea上でも展開しようとしています。
先週から、OpenSeaでは、OpenSea上で共有されるURLが悪意のあるものであるかどうかを明確にスキャンする新しいシステムを開始しました。
まず、既知の悪質なサイトのブロックリストと照合しURLをスキャンします。
しかし、新種の詐欺はブラックリストに載る前にOpenSea上に現れることが多いため、新しいURLとのインタラクションやトランザクションもシミュレートし、シグネチャーファーミングやウォレットの流出などの、「悪質な行動」を特定、判別する機能がついています。
また、検出された悪質なリンクをOpenSea上で広めようとする詐欺アカウントは、OpenSeaを使用する際、アカウントが禁止され、コレクションが上場廃止になり、送金要求がブロックされるという仕組みです。
ステップ2 【盗難の検出】盗難後の転売を防止する
ステップ1で、悪質なURLの検出と削除システムの導入により、OpenSea上の詐欺を減らすことはできますが、より広い範囲ではまだNFTの盗難が発生する可能性があります。
以前はユーザーの NFT が盗まれた場合、ユーザーがサポートチームに連絡して盗難品レポートを提出することでしか、盗難をOpenSea側が知ることはできませんでしたが、その通知で、OpenSeaを使ったアイテムの多くの再販を防ぐことができていました。しかし、再販を無効にする前にすでに再販してしまっていたケースも多々ありました。
そこで、11月2日より、OpenSeaはNFTの盗難をリアルタイムで検出し、OpenSeaを使用して盗難の疑いのある商品の再販を防止することを目的とした新しいシステムのテストを開始しました。まず限定的な試験段階からスタートし、今後数カ月かけて、より効果的に盗難を検知できるようにシステムを整えるようです。
OpenSeaの新システムは盗難の可能性や疑わしい譲渡を検知すると、自動的にその商品を黄色の警告アイコンで「審査中」とマークし、OpenSeaを使ったその商品の再販を禁止し、その商品の前の所有者に電子メールで警告します。
ユーザーは、NFTが盗難品であるかどうかを確認したり(警察への届け出が必要)、譲渡が正当なものであるかどうかをOpenSea側に知らせることができます。盗難品の通知があった場合は、アイテムの再販を凍結し、該当するユーザーから返答がない場合は、7日後に再販売が可能になります。
おわりに
OpenSeaは、さらに他のマーケットプレイスやウォレットのプロバイダー、分析機関などと提携し、詐欺の網羅的な検出と、盗難・再販防止システムの開発に取り組んでいるとのことです。
安全なNFT取引の開発が進んでいます。