9月20日の早朝、シンガポールの暗号通貨取引所BingXがセキュリティ侵害を確認しました。会社の担当者によると、この事件は「小規模な資産の損失」をもたらしましたが、専門家はすでに数百万ドルが盗まれる可能性があったと述べています。これは、最近の大規模な暗号通貨取引所のハッキングの最初のものではありませんでした。
市場の価値が膨張するにつれて、それに関連するリスクも増加しました。ハッカーは暗号通貨取引所を標的にしています。それらはデジタル資産の入口であり、巨額のユーザー資金が保管されています。これらのプラットフォームは、サイバー犯罪者にとって従来の銀行と同じくらい魅力的になっています。暗号通貨は分散型であり、異なる取引所は異なるレベルのセキュリティを持っています。このため、歴史上最大の盗難事件のいくつかが発生しました。
取引所のハッキングの増加は、暗号通貨に関する重要な真実を示しています:ブロックチェーン技術は安全であると称賛されていますが、ユーザーが資産を保管し取引する場所は依然として攻撃に対して脆弱です。これらのハッキングの多くは、セキュリティプロトコルの穴、コードのミス、または従業員の不注意を利用しました。その結果、数百万ドルが盗まれ、公共の信頼が揺らぎ、暗号通貨がより良いインフラなしで広く受け入れられるかどうかが疑問視されています。
BingXのスキャンダルが進行する中、過去数年の間に発生した最大の暗号通貨取引所のハッキング10件について、その技術的欠陥、財務的影響、および学んだ教訓を見ていきましょう。
1. Mt. Gox(2014年)– ジャイアントの陥落
日本のMt. Gox取引所は、2010年代初頭のビットコイン取引を支配していました。それはおそらく暗号通貨史上最も有名なハッキングの場所でした。
最盛期には、世界中のすべてのビットコイン取引の70%以上を処理していました。2014年2月にMt. Goxが突然取引を停止したとき、多くの人が恐怖におののきました。その後すぐに取引所は破産し、当時の価値で4億5千万ドルの850,000 BTCが盗まれたと発表しました。今日の価値に換算すれば、その額は数十億ドルになります。それは10年後でも、非常に恐ろしい話です。
攻撃は数年にわたって進行しました。ハッカーは、会社のホットウォレットの欠陥と内部の悪いセキュリティ慣行を利用して、少しずつビットコインを盗み出しました。主な問題は、取引を検証するシステムの脆弱性でした。この脆弱性、「トランザクションのもろさ」と呼ばれるものは、盗人が取引IDを変更し、気付かれずに資金を奪うことを可能にしました。
Mt. GoxのCEOであったマーク・カーペレスは、その後に逮捕され、横領の罪で起訴されました。このハッキングは、管理が悪く、セキュリティが十分でないときの危険性を示す教訓として、今でも暗号通貨界に記憶されています。盗まれたビットコインの一部は回収されています。
2. Coincheck(2018年)– 5億ドルのNEM強盗
2018年1月、日本を拠点とする取引所Coincheckから5億ドル相当のNEM (XEM) トークンが盗まれました。
NEMの取引は、複数の人による承認が必要なため、ビットコインの取引よりも複雑です。しかし、それでもハッキングを防げませんでした。なぜでしょうか?残念ながら、CoincheckはほとんどのNEMを「ホットウォレット」に保管していました。オンラインであり、比較的簡単にハッキングされる可能性があるウォレットです。
ハッカーはCoincheckのサーバーに侵入し、取引所のホットウォレットにアクセスしました。多くの資産に対してマルチシグネチャウォレットが使用されていなかったことが、大きなセキュリティの欠陥でした。一度侵入すると、ハッカーはNEMを他のアカウントに移動させました。ブロックチェーン技術は変更不可能であるため、NEMが分散型であるため、Coincheckは取引を元に戻せませんでした。
NEMのブロックチェーンの開放性により、警察は盗まれた資金の一部を見つけることができましたが、まだ多くが行方不明です。ハッキングのため、Coincheckは影響を受けたユーザーに自腹で補償を行わなければなりませんでした。これにより、日本政府による取引所の監視が強化されました。
3. Bitfinex(2016年)– マルチシグネチャの難題
2016年8月、Bitfinexは120,000 BTC(約7,200万ドル)を盗まれるというハッキングを経験しました。
ブロックチェーンセキュリティ会社のBitGoが、Bitfinexにマルチシグネチャウォレットシステムを提供していました。しかし、このセットアップには脆弱性があることがハッキングにより明らかになりました。
ハッカーはBitfinexのセキュリティを突破し、そのホットウォレットにアクセスしました。後に明らかになったように、セキュリティの欠陥とマルチシグネチャの実装におけるコードのミスが原因でした。
Bitfinexのハッキングの財務的影響とその後の対応は注目に値します。失われた資金を表すために、取引所はBFXトークンを作成し、ユーザーは取引するか、取引所の財政状況が改善するまで保持することができました。Bitfinexは影響を受けた顧客に補償を行いましたが、この事件は中央集権型取引所のセキュリティとマルチシグネチャウォレットの有用性について疑問を投げかけました。
4. Binance(2019年)– 失敗しすぎるには大きすぎるターゲット
2019年5月、世界最大の暗号通貨取引所の一つであるBinanceがハッキングされ、7,000 BTC(約4,000万ドル相当)が盗まれました。これは暗号通貨業界にとって重大な事件でした。
ハッカーはフィッシング、ウイルス、およびその他の高度な手法を組み合わせて、多数のユーザーAPIキー、2FAコード、および内部に侵入するための情報を取得しました。
高度な手法が使用されたため、Binanceハッキングは注目されます。ハッカーは、高度に組織化された方法で攻撃を実行し、迅速な単一トランザクションでビットコインを引き出し、アラームを発生させました。
引き出しは即座に停止され、Binanceは緊急対応を開始しました。幸運にも、ユーザーの損失は特に設立されたSAFU(Secure Asset Fund for Users)基金で補填されました。
プラットフォームのセキュリティシステムが侵害されたにもかかわらず、Binanceのプロトコルにより被害を最小限に抑え、素早く回復が可能だったと、BinanceのCEOであるChangpeng Zhaoは後に述べています。
この侵害は、常に進化するサイバー攻撃から安全なプラットフォームがないことを示しました。
5. KuCoin(2020年)– 2億7,500万ドルの盗難
2020年9月、シンガポールの取引所KuCoinでハッキングが発生し、イーサリアム、ビットコイン、およびERC-20トークンの約2億7,500万ドル相当が盗まれました。
再び、取引所のホットウォレットが侵害され、大量の資産をオンラインで保管するリスクが明らかになりました。
盗まれた量とKuCoinの迅速な対応がこの攻撃を注目すべきものにしました。取引所はプロジェクトチームやブロックチェーン企業と協力し、盗まれた資金の大部分を迅速に凍結しました。最終的に、盗まれた資金の2億ドル以上が返還されました。
KuCoinの対応は、暗号通貨のセキュリティ対策が高度になってきていることを示しました。特に、盗まれた資金の移転を阻止または元に戻す能力が重要でした。
しかし、この事件は中央集権型取引所のリスクについての広範な議論を引き起こし、ホットウォレットのセキュリティを向上させる必要性を浮き彫りにしました。
6. NiceHash(2017年)– 6,400万ドルのマイニングハッキング
2017年12月、スロベニアの暗号通貨マイニングマーケットプレイスであるNiceHashがハッキングされ、4,700 BTC(当時の価値で約6,400万ドル)が盗まれました。
NiceHashからお金を盗んだ後、犯人はおそらくソーシャルエンジニアリングを使用して会社の内部システムにアクセスしました。
典型的なハッキングとは異なり、今回はマイニングプラットフォームを標的にしました。
NiceHashのユーザーは、自分の計算能力を他者に貸し出し、その対価としてビットコインを受け取っていましたが、これにより大きな損失を被りました。会社はすべての操作を凍結し、徹底的な調査を開始しました。
NiceHashは最終的に影響を受けたユーザーに支払いを行いましたが、この事件は暗号通貨エコシステム全体、特にマイニングプラットフォームの脆弱性を示しました。
7. Liquid(2021年)– 9,400万ドルのエクスプロイト
日本の取引所Liquidは、2021年8月にハッキングされ、ビットコイン、イーサリアム、およびその他の暗号通貨で約9,400万ドル相当が失われました。
ハッカーがそのホットウォレットにアクセスした後、Liquidの資産は複数のアドレスに移動されました。さらに損失が発生する可能性があると考えた取引所は、資金をコールドウォレットに移しました。
その後、Liquidは他の取引所と協力してすべての取引を停止し、盗人を特定し、理想的には盗まれた資金を回復するために努力しました。一部の資金は回収されましたが、この事件はホットウォレットの脆弱性とデジタル資産のリアルタイムセキュリティの難しさについて持続的な懸念を浮き彫りにしました。
8. Cryptopia(2019年)– 小さな巨人の陥落
ニュージーランドを拠点とする暗号通貨取引所Cryptopiaは、その控えめな規模にもかかわらず、ユーザーの間で高い評価を受けていました。
2019年1月、ハッキングにより約1,600万ドル相当の暗号通貨が盗まれ、取引所はすべての運営を停止することを余儀なくされ、その後破産しました。
Cryptopiaには被害者に補償するための資金がほとんどなかったため、このハッキングは特に悪質でした。多くのユーザーが全財産を失いました。調査により多くのセキュリティ侵害が明らかになり、その内部手続きとリスク管理が厳しく問われました。
9. Zaif(2018年)– 6,000万ドルのハッキング
2018年9月、日本の暗号通貨取引所Zaifで発生したハッキングにより、ビットコイン、ビットコインキャッシュ、およびモナコインで約6,000万ドル相当が盗まれました。
取引所のホットウォレットに侵入した後、ハッカーはお金を動かすことができました。 しばらくの間誰も気づかなかった。
損失を補填するために、Zaifの親会社であるテックビューロは、別の日本の金融サービスプロバイダーであるフィスコに事業の支配権を売却しました。ハッキングの結果、Zaifは一時的に運営を停止する必要があり、日本政府は暗号通貨取引所への取り締まりを強化し始めました。
10. Bitmart(2021年)– 1億5000万ドルのホットウォレット侵害
2021年12月、世界的に知られるビットコイン取引所Bitmartで大規模なハッキングが発生しました。攻撃によりユーザーの資金約1億5000万ドルが盗まれました。 Binance Smart Chain(BSC)およびEthereum(ETH)トークン向けの取引所のホットウォレットが、ハッキングの弱点となりました。 ハッカーは、取引所のウォレットキーを手に入れた後に、Bitmartのウォレットに保管された暗号通貨を自由に操ることができました。
攻撃者のより複雑なトリックの1つは、Safemoon、Shiba Inu(SHIB)などの多くのトークンで自動引き出しを設定したことでした。
セキュリティ会社PeckShieldが異常な取引に最初に気付き、みんなに知らせました。 その後すぐに、BitmartのCEOであるSheldon Xiaはハッキングを確認し、被害を評価するまでサイトでの引き出しと入金を停止しました。
Bitmartはすぐにユーザーに損失を自分たちのポケットから補償すると伝えました。
他のハッキングと同様に、Bitmartのハッキングはホットウォレットの保管に伴う主要なセキュリティ問題に注目を集めました。 インターネットに常時接続されているものは攻撃を受けやすいです。
しかし、それだけではありません。
このような攻撃は、集中型の取引所がどれほど信頼できるか、ユーザーの資金をどれほど安全に保てるかに疑問を抱かせます。
今回の出来事を受け、多くの人々はセキュリティを強化し、同様の問題が再発しないようにコールドウォレットの保管が一般的になるべきだという結論に至りました。