NFT ストレージと可用性: 考慮に値するリスク

序章

2021 年には、不変のブロックチェーン上のトランザクション ID を介して所有権を証明および参照できるデジタル アート アセット (画像、GIF、音楽など) である Non-Fungible Tokens (NFT) で爆発的なレベルの関心と金銭的利益が見られました。 . NFT は少なくとも 2014 年から存在しており、Kevin McCoyが最初のデジタル アート トークン「Quantum」を作成 (発行) し、 2021 年半ばのサザビーズ オークションで 1,472,000 米ドルで販売されました(図 1)。 Nasdaqが発行した最近の記事によると、世界の NFT 市場は現在 3,700 億ドル規模であり、今後 10 年間で 1,000 倍に成長する可能性があります。

これらのオンライン収集品の最大の魅力は、アートワークの認識されている不変の性質 (資産を押収、盗難、または破壊することができないという点で) と、チェーン上にある所有権の証明です。しかし、誰かが NFT を購入した場合、それが 20 米ドルであろうと 6900 万米ドルであろうと、購入者は正確に何を得て、そのデータはどの程度不変なのでしょうか?現在作成されているほとんどの NFT の場合、ユーザーは不変の資産を購入するのではなく、オフチェーンのホスティング ロケーションを指す不変のリンクを購入しています。ホスティング ソースはオンチェーンではないため、資産が失われる可能性があります。

このブログ投稿では、NFT ストレージへのさまざまなアプローチと、関連するセキュリティとデータ可用性のリスクを確認します。

NFT マーケットプレイスとそのストレージ ソリューション

この記事を書いている時点で、現在鋳造および取引されている NFT コレクションのほとんどは、イーサリアム ブロックチェーン ネットワーク上で行われています。 Mintable 、 SuperRare 、 Valuablesなど、この分野で最も人気がありユニークなマーケットプレイスがあります。

これらのプラットフォームで販売されている NFT の構造とストレージを調査したところ、オンチェーンとオフチェーンのデータが混在していることを発見しました。これは、スケーリングの制限と、大量のオンチェーン コンテンツ データをサポートするためのコストに関連する問題によるものです。このブログで言及されているものだけでなく、イーサリアムベースの NFT マーケットプレイスの多くは、実際の NFT アートワークをサードパーティのオフチェーンのプライベート サーバーにオフロードするコスト削減機能を実装しています。一般的な Ethereum ベースの NFT 構造の視覚的な例を図 2 に示します。

以下は、さまざまな NFT とその保存メカニズムの例です。

ミントテーブル
Mintable は、使いやすいユーザー インターフェイス (UI) と、手数料ゼロ (「ガスレス」) のマイニングやロイヤルティの支払いなどの機能により、シンガポールを拠点とする人気の NFT マーケットプレイスです。これにより、グラミー賞を受賞したさまざまなアーティスト、尊敬されるアーティスト、著名人がプラットフォームに集まりました。 Mintable 上の NFT に関連付けられたメタデータは、アセットが Amazon のクラウド サービス (CloudFront) に保存されていることを示しています (図 3-4)。

スーパーレア
彼らのウェブサイトによると、「 SuperRare は、ユニークなシングル エディションのデジタル アートワークを収集して取引する市場です。各アートワークは、ネットワーク内のアーティストによって真正に作成され、所有および取引できる暗号収集可能なデジタル アイテムとしてトークン化されます。 SuperRare は、Instagram が Christies と出会うようなものだと考えることができます。」 SuperRare 上の NFT に関連付けられたメタデータは、アセットがInterPlanetary File System ( IPFS) に保存されていることを示しています (図 5-6)。

貴重品
Valuables は、ユーザーが他のユーザーのツイートの NFT を購入、販売、入札できるニッチな市場です。 Valuables の特定の NFT (図 7) — 2021 年 3 月に 6,000 米ドルで販売されたツイート — に関連付けられたメタデータは、プラットフォームが現在 IPFS で購入したツイートのスクリーンショットを非公開でホストしているが、ストレージのコストと責任をオフロードする計画があることを示しています。ツイートのスクリーンショット データを、分散型ファイル ストレージ ネットワークである Arweave というサービスに保存します (図 8 および 9)。

「データの可用性」は考慮すべきか?
次のセクションでは、NFT マーケットプレイスで利用されている一般的なストレージ ソリューションのいくつかを確認し、それぞれに関連するさまざまなセキュリティとデータ可用性のリスクについて検討します。

集中型サーバー ソリューション

アマゾン クラウドフロント
Amazon CloudFront は、アマゾン ウェブ サービス (AWS) が運営するコンテンツ配信ネットワーク (CDN) です。 CDNは、メディア ストリーミング、ソーシャル メディア、Web オブジェクト、Web ポータル、ダウンロードなどのコンテンツ配信サービスを提供します。 Mandiantが以前に報告したように、 CDN に対する攻撃は、Web サイトやファイル ストレージなど、サーバー上でホストされている大量のサードパーティ コンテンツへのユーザー アクセスを妨害または阻止する可能性があります。

CDN に対する攻撃は、一時的なデータ可用性の問題のみを引き起こす可能性があります。たとえば、NFT コンテンツは、分散型サービス拒否 (DDoS) 攻撃の間、利用できない場合があります。ただし、データが完全に失われる可能性も懸念されます。 2020 年 12 月、Mandiant は、CDN を悪用する方法に対するサイバー犯罪者の関心を強調する次のレポートを公開しました。

• 2020 年 6 月、英語を話すアクター「workerB」は、CloudFront、Cloudfare、Fastly、および Amazon Web サービスの Web アプリケーション ファイアウォール (WAF) をバイパスした経験のある他のアクターを 勧誘しました。 WAF をバイパスすると、攻撃者は SQL インジェクション (SQLi) やクロスサイト スクリプティング (XSS) などのさまざまな種類の攻撃を実行できるようになり、成功すると保護されたデータへの不正アクセスが可能になります。
• ロシア語を話す俳優「Buffer」が米国州政府の AWS へのアクセスを 宣伝

分散サーバー ソリューション

惑星間ファイルシステム ( IPFS)
InterPlanetary File System (IPFS) は、データを保存および共有するための分散ピアツーピア ネットワークです。 IPFS は、「コンテンツ ID」(CID) と呼ばれるコンテンツ アドレス指定の方法を使用して、コンテンツとその保存場所をマッピングします。

多くの分散型コンテンツ ホスティング プラットフォームと同様に、データ (この場合は NFT アセット) へのアクセスを希望する個人と、そのデータをホストする個人との間で、不整合なインセンティブが発生します。 IPFS サーバー (別名「ノード」) を実行している個人は、サーバーにデータを保存するコストを負担します。特定のコンテンツをホストしている IPFS ノードの所有者と運用者がデータを削除すると、そのデータにリンクしている IPFS URI は機能しなくなります。 IPFS は、誰かが、どこかで、いつでもオンラインでデータをホストしている場合にのみ、長期データ ストレージ オプションとして機能します。ファイルが IPFS にアップロードされた場合、データが複製されたり安全であるという保証はありません。 IPFS は、分散データに対処する独自の方法ですが、実際にデータを保存するわけではありません。実際、IPFS ソフトウェアにはガベージ コレクション(図 10) と呼ばれる機能があり、不要になったと「判断」した特定のコンテンツをソフトウェアが自動的に削除します。

データの可用性に関する明らかな懸念への対応として、IPFS のドキュメントではPinning サービスの使用が提案されています。これらのサービスでは、ユーザーは有料でコンテンツを「固定」できますが、NFT コンテンツへの購入者のアクセスを保証するために最終的に誰がこれらの料金を支払うのかは不明です。

アーウィーブ
IPFS に対する批判を受けて、一部の NFT 作成者は、潜在的なソリューションとして Arweave を使用しています (図 10)。 Arweave は、コンテンツ ストレージをサービスとして提供するピアツーピア ファイル ストレージであり、データはブロックチェーンに保存され、一般的な Web ブラウザーからアクセスできます。ユーザーはデータをネットワークにアップロードするために 1 回限りの料金を支払い、料金の一部はデータを維持するマイナーに分配されます。ただし、開発されている多くのブロックチェーンベースのネットワークと同様に、経済的インセンティブと技術的なプロトコル構造の両方が各ネットワークに固有であり、異なる場合があります. Arweave の分散型データ ストレージが実行可能な長期的なソリューションであるかどうかを判断するには時期尚早です。

NFTコンテンツを紛失した人はいますか?
このレポートの調査を行っているときに、Mandiant の研究者は、購入者が NFT コンテンツにアクセスできなくなった事例をいくつか発見しました。

• 2021 年 3 月、ポピュラー音楽アーティスト 3LAUは、33 個のオーディオ NFT を 1,160 万米ドルでオークションにかけ、歴史に名を残しました (図 11)。 NFT の各所有者は、NFT をサイン入りの限定版ビニールと未発表の音楽と引き換えることができました。オークションの最高入札者は、3LAU とのコラボレーションのチャンスも獲得しました。しかし、数日後、NFT コンテンツはオンラインで発見できなくなったようです。
• 2021 年 9 月、不動産開発業者は、500 米ドルで購入した NFTが 1 週間後にウォレットからなくなったと主張し、所有者はウォレットにアートワークが表示されるのではなく、次のエラー メッセージが表示されました (図 12)。所有者が OpenSea マーケットプレイスで NFT を購入したとき、アートワークを指す URI を含むメタデータは、画像が著作権で保護された素材に関連する契約条件に違反したため、OpenSea 管理者によって抑制されたことが判明しました。
• 2021 年 9 月、 OpenSea のバグにより、少なくとも 42 個の NFT (約 100,000 米ドル相当) が行方不明になりました。

結論

データの可用性は、NFT の成功と不変性の重要な要素であり、現在の実装では不十分です。イーサリアムベースの NFT 業界には、NFT コンテンツをどこにどのように保存するかについての正式な枠組みがありません。 IPFSネットワークはNFTクリエーターの間で人気のあるオプションですが、最終的には各NFTの個々のクリエーター、またはミント機能をホストするプラットフォームに決定が委ねられています.買い手は、データが長期的に存在するという保証のない NFT にいくらかの金額を費やすことに意味があるかどうかを尋ねなければなりません。

ブロックチェーン技術は、データの機密性、完全性、およびアクセシビリティに対する固有のソリューションを約束しますが、一般的に議論されているスケーラビリティの問題は残っているようです.ブロックチェーン プロトコルが、インセンティブ メカニズムにおいて経済的に健全であり、スケーラビリティにおいて技術的に健全であることを証明できれば、NFT 市場だけでなく、無数のセクターやエンタープライズ レベルのアプリケーションで実行可能なソリューションとしての地位を確立できます。セキュリティと可用性は、成功に最も重要です。