近年、NFTに関連するハッキングが相次いで発生し、P2E(Play to Earn)ゲームおよびブロックチェーン事業を進めている企業は改めてブロックチェーンの脆弱性について考える必要がある。ハッキングや偽造・変造が不可能だと言われていたブロックチェーンの強みが色あせた感覚だ。
2022年3月29日、グローバルP2Eゲームの代表格「Axie Infinity(アクシー・インフィニティ)」がハッキングされたというニュースが伝えれた。29日時点の価格で、合計6億1200万ドル(約790億円)相当の17万3600ETH(イーサリアム)と2550万USDC(USDコイン)が流出した。
ブロックチェーンのネットワーク自体に攻撃を仕掛けることが非常に困難だが、ネットワーク間でコインを移動させる際に隙が生まれる。「アクシー・インフィニティ」に使用されるイーサリアム連動サイドチェーンの「Ronin Network」が標的となり、今回のハッキングが実行された。
セキュリティを強みとするブロックチェーン技術がハッキングされたという事実も問題だが、さらに大きな問題は別にある。ハッキングの事実を後になって知ったという点だ。ハッキングは3月23日、2度にわたって発生した。このハッキングで6億相当の暗号資産が盗まれたにもかかわらず、開発会社のSky Mavisは約1週間も遅れて知ったことになる。
「アクシー・インフィニティ」のハッキングの背景には北朝鮮のハッカー集団「Lazarus(ラザルス)」が関与していると米連邦捜査局(FBI)が発表した。「ラザルス」は2014年にSony Picturesをハッキングして機密資料を流出させ話題を呼んだハッカー集団だ。
「アクシー・インフィニティ」のハッキングから約1か月後の4月25日、再度NFTに関連するハッキングが発生した。世界最大級のNFTプロジェクト「Bored Ape Yacht Club(BAYC)」が標的となり、最大300万ドル(約3億8000万円)相当のNFTが流出した。
ハッキングとは言ってもブロックチェーン技術の弱点の攻撃してハッキングした「アクシー・インフィニティ」とは状況が異なる。「BAYC」のハッキングは、いわゆる偽リンクを掲載して利用者をだますやり方で行われた。ハッカーはまず「BAYC」のインスタグラムとDiscordサーバーをハッキングした後、「NFTの無料配布を行う」と謳い、偽リンクを踏ませ、ユーザーのウォレットをハッキングする形だ。また、「BAYC」に加え、NFTプロジェクト「MetaKongz」も同様に偽リンクを使用したハッキングが行われた。

近年、P2Eゲーム・NFTそしてブロックチェーンに対する関心の高まりに比例してハッキング事例も増加している。ハッキングの事例も多様で、「アクシー・インフィニティ」のようなP2Eゲームから「BAYC」、「MetaKongz」のようなNFTプロジェクト、「KLAYswap」のようなDeFiサービスまで標的にされている。事実上、ブロックチェーン事業全体がハッカーの餌食となったわけだ。
ブロックチェーン企業はセキュリティをさらに強化する一方、利用者も不明瞭なリンクなどには細心の注意を払い、自身の資産を守ってほしい。