史上最大の仮想通貨強奪において、セーシェルに拠点を置く取引所 Bybitは、2025年2月21日に北朝鮮との関連があるハッカーによる巧妙なハックにより、約15億ドルのイーサリアム(ETH)を失いました。
BybitのCEO Ben Zhouによって確認されたこの違反は、暗号業界を標的とするサイバー犯罪の大幅なエスカレーションを示し、デジタル資産のセキュリティに対する重要な疑問を投げかけます。
ここで、ハックの詳細な分析、使用された技術的方法、ブロックチェーン分析の役割、ラザルスグループの関与、および仮想通貨エコシステムへの広範な影響を探ります。
Bybit: 暗号市場の主要プレーヤー
Bybitは2018年に設立され、セーシェルに本社を構え、高い取引量や多様なオファリングで知られる主要な仮想通貨取引所として確立されました。これには、現在の市場価格での仮想通貨の売買、レバレッジを伴う将来の価格変動の推測、ブロックチェーンオペレーションをサポートするための資金のロックで報酬を得ることが含まれます。
取引所のユーザーフレンドリーなインターフェースとマルチシグネチャ(マルチシグ)コールドウォレットや定期的なセキュリティ監査などの堅牢なセキュリティ対策に対する評判は、世界的なユーザーベースを引き付けました。この評判は、このハックが特に警戒される理由であり、最も信頼されるプラットフォームにおける脆弱性を露呈しました。
ハックの発見
ハックは、オンチェーンアナリストのZachXBTによって最初に検出され、2025年2月21日午前10時20分(米東部時間)にBybitのウォレットから合計14億6000万ドルの疑わしい流出をフラグ指摘されました。
これらの流出は401,347 ETHを含み、潜在的なセキュリティ侵害について直ちに懸念が高まりました。30分以内に、BybitのCEO Ben Zhouは、ハッキングを確認し、交換所のマルチシグネチャコールドウォレットがウォームウォレットへのルーチン転送中に悪用された「マスクされた」トランザクション手法による攻撃と説明しました。
マルチシグネチャコールドウォレットとそのセキュリティの理解
マルチシグネチャコールドウォレットとは?
マルチシグネチャ(マルチシグ)コールドウォレットは、トランザクションを承認するために複数の秘密鍵を必要とするよう設計された仮想通貨ストレージの一種であり、セキュリティを強化します。
単一キーウォレットとは異なり、複数の関係者やデバイスに制御を分配することにより、盗難に対する脆弱性を減らします。例えば、2-of-3マルチシグウォレットは、対象者のうち2名がトランザクションを承認する必要があります。
一方、コールドウォレットはオフラインストレージソリューションであり、インターネットに接続されておらず、ハッキングやフィッシングといったオンライン攻撃のリスクを低減します。
Bybitのマルチシグコールドウォレット設定は、複数のサイナーによる承認を必要とし、仮想通貨の大量保有を保護するための標準的な手法でした。
Bybitのマルチシグコールドウォレットの使用は、その大量のETH保有を守るために意図されており、この違反は特に驚きであり、攻撃の高度な手法を強調しています。
ハックの実行方法:技術的詳細
攻撃者は、社会工学と高度な技術操作を組み合わせて、Bybitのマルチシグセキュリティを回避しました。
攻撃の詳細な内訳は次のとおりです:
1. 社会工学を通じた初期アクセス
ハッカーは、北朝鮮のラザルスグループの一部であると考えられており、次のような高度なフィッシング技術によって初期アクセスを得たと考えられます:
- スピアフィッシングメール:従業員やサイナーをだまし、資格情報を明らかにさせたり悪意あるリンクをクリックさせるために設計されたターゲットメール。
- 偽サイト:プライベートキーやシードフレーズをキャプチャするために正規のBybitインターフェースを模したフィッシングサイト。
- マルウェア感染:サイナーが使用するシステムやデバイスを危険にさらすためのマルウェアの配布。
これらの社会工学戦術は、人間の過ちを活用し、最もセキュアなシステムにも影響を及ぼします。
2. マスクされたインターフェースを通じたトランザクション操作
BybitのETHマルチシグコールドウォレットからウォームウォレット(より迅速なトランザクションのためのオンラインウォレット)へのルーチン転送中に攻撃者はそのエクスプロイトを実行しました。
ハッカーは、サイナーがトランザクションを承認するユーザーフェイシングのコンポーネントである署名インターフェースを変更しました。このインターフェースは、合法なトランザクションアドレスを表示しながら、下位層のスマートコントラクトロジックに悪意あるコードを埋め込みました。
サイナーは操作に気づかず、通常の転送と見なされたものを承認しました。しかし、承認されたトランザクションには、ウォレットの制御メカニズムを変更する悪意あるコードが含まれていました。
3. スマートコントラクトロジックの変更
トランザクションに埋め込まれた悪意あるコードは、トランザクションの承認プロセスの脆弱性を利用しました。
承認されたトランザクションはスマートコントラクトロジックを変更し、攻撃者がウォレットを制御できるようにしました。これにより、401,347 ETHが攻撃者の制御下にある不明のアドレスに転送されました。
攻撃はEthereumブロックチェーンやそのスマートコントラクトを危険にさらしたのではなく、むしろBybitの内部プロセスを利用しているものです。
4. 資金の洗浄と分散
資金の制御を得た後、攻撃者は迅速に盗まれたETHを複数のウォレットに分散させました。
ETHは1,000 ETHのインクリメントに分割され、40以上の異なるウォレットに送信されました。
攻撃者は、集中型の交換(DEXs)を介してETHを他の仮想通貨や法定通貨に変換しました。これらは集中型交換の顧客照会(KYC)要件がなく、資金の凍結や回収を困難にします。
ブロックチェーン分析と資金トラッキング
ブロックチェーン分析会社は、攻撃者の動きを隠そうとする努力にもかかわらず、盗まれた資金を追跡するのに重要な役割を果たしました。
主要な会社やツールには以下が含まれます:
- Elliptic:盗まれたETHが分散されて清算される様子を追跡したブロックチェーン分析会社。Ellipticのソフトウェアは、不審な活動を特定するためにトランザクションパターンとウォレットアドレスを分析します。
- Arkham Intelligence:資金のリアルタイム追跡を提供し、関連するウォレットやトランザクションフローを特定した別の分析会社。
- MistTrack by Slow Mist:Ethereumネットワーク上で盗まれたETHの動きをマップするために使用されたブロックチェーンフォレンジックツール。MistTrackは、ラザルスグループの技術を示すテストトランザクションやウォレットパターンをフラグしました。
これらの努力にもかかわらず、清算のスピードと規模は回収を困難にしました。
攻撃者がDEXsやミキサー(仮想通貨の起源を隠すためにシャッフルするツール)を使用したため、プロセスはさらに複雑になりました。
ラザルスグループ:ハックの背後にいる犯人たち
ラザルスグループとは?
ラザルスグループは、北朝鮮の国家支援ハッキング集団として知られています。仮想通貨強奪、ランサムウェア攻撃、スパイ活動を含む高プロファイルなサイバー犯罪を組織した経験があります。
グループは北朝鮮の偵察総局の指導のもとで活動していると考えられており、主な目的は体制の収入を生成することです。
ラザルスとBybitハックの関連を示す証拠
ブロックチェーンアナリストを含むZachXBTは、いくつかの指標に基づいて、Bybitハックを以前のラザルスグループによるエクスプロイトと関連付けました。
- テストトランザクション:Lazarusタクティクスの特徴である、ウォレット機能をテストするために送信された小額の振込み。
- 関連ウォレット:Bybitハックで使用されたウォレットが、Phemexエクスプロイトなどの以前のハックで使用されたものとリンクされていました。
- フォレンジックチャートとタイミング分析:トランザクションのタイミングとウォレット活動のパターンが、既知のLazarusの行動と一致しました。
ラザルスグループの履歴
ラザルスグループは仮想通貨の盗難の長い歴史を持ち、以下の注目すべき例があります:
- Ronin Networkハック(2022年):Axie InfinityゲームプラットフォームからETHおよびUSDCとして6億ドルを盗んだ。
- Phemexハック(2024年):類似した手法やウォレットパターンによってBybitハックとリンクされています。
- 2024年の合計:47件のハックを通じて13億4,000万ドルを盗んだと推定されており、その年の全不正仮想通貨活動の61%を占めています。
グループのゼロデイエクスプロイト(これまで知られていなかった脆弱性)や高度な社会工学などの技術は、仮想通貨業界に対する大きな脅威となっています。
イーサリアムと暗号エコシステムへの影響
イーサリアムのセキュリティ
ハックの規模にもかかわらず、イーサリアム自体は危険にさらされていませんでした。
脆弱性はBybitの内部プロセスにあり、イーサリアムブロックチェーンやそのスマートコントラクトにはありませんでした。
その理由は次の通りです。
イーサリアムブロックチェーンは、トランザクションの分散型台帳であり、セキュアなままでした。攻撃は、ブロックチェーンのコンセンサスメカニズム(プルーフ・オブ・ステーク)やそのスマートコントラクトシステムの欠陥を利用しませんでした。
この違反は、承認されるトランザクションの操作に起因し、仮想通貨管理における人的プロセスのリスクを浮き彫りにしました。
スマートコントラクトコード自体はハッキングされませんでしたが、マスクされたインターフェースを通じた承認プロセスの操作は、マルチシグウォレットのユーザーインターフェースとトランザクション署名メカニズムのセキュリティに関する懸念を引き起こします。
広範な市場への影響
ハックは仮想通貨市場に即時かつ波及的な影響を及ぼしました。
ETH価格はハックの確認後、3%以上下落し、ボラティリティが高まっていることを反映しました。
この違反は、ETHDenver(イーサリアムエコシステムで最大のカンファレンスの一つ)と一致し、ETHに対して通常強気であるイベントに弱気の影を投げかけました。
この事件は集中型交換への信頼を失わせ、ユーザーが資産の安全性に疑問を持ち、分散型金融(DeFi)ソリューションへの興味を高める結果となりました。
そしてもちろん、最大のハッキングがブルマーケット中に起こったという事実そのものも無視するべきではありません。
Bybitの対応と回復努力
Bybitの迅速な対応は、パニックを軽減し、運用の回復力を示しました。 以下の内容を日本語に翻訳してください。Markdownリンクの翻訳は省略してください。
内容: The exchange processed over 580,000 withdrawal requests post-hack, ensuring users could access their funds.
取引所はハッキング後に58万件以上の出金リクエストを処理し、 ユーザーが資金にアクセスできるようにしました。
Bybit also secured bridge loans to cover losses, reassuring users of its solvency. The exchange launched a program offering up to 10% of recovered funds to ethical hackers who assist in retrieving the stolen ETH.
さらに、Bybitは損失を補うためにブリッジローンを確保し、 ユーザーに財務の健全性を保証しました。 取引所は、盗まれたETHの回収を支援する倫理的ハッカーに回収資金の最大10%を提供するプログラムを立ち上げました。
These measures, while proactive, highlight the challenges of recovering funds in such large-scale hacks, especially given the attackers’ laundering techniques.
これらの措置は積極的である一方で、こうした大規模なハッキングにおいて資金を回収する困難さ、特に攻撃者の資金洗浄技術を考慮した場合の困難さを浮き彫りにしています。
再発防止策
同様のハッキングを防ぐため、専門家は業界のベストプラクティスとBybit事件からの洞察に基づいた包括的なセキュリティ対策を推奨しています。
1. MFA(多要素認証)
取引承認のために、複数の検証レイヤーが必要です。例えば:
- 生体認証: 指紋や顔認識。
- ハードウェアトークン: ワンタイムコードを生成する物理デバイス。
- 時間ベースのワンタイムパスワード(TOTP): Google Authenticatorなどのアプリによる一時コード。
2. 安全な通信チャンネル
すべての取引関連の通信には暗号化された、検証されたチャンネルを使用します。例えば:
- エンドツーエンドで暗号化されたメール: ProtonMailやSignalのような安全なメッセージングツール。
- 専用の安全なポータル: 外部脅威から隔離された内部システムでの取引承認。
3. 定期的なセキュリティ監査
脆弱性を特定するために頻繁に評価やペネトレーションテストを行います。
- サードパーティ監査: 信頼できる企業にセキュリティプロトコルをレビューしてもらう。
- シミュレーション攻撃: フィッシングやマルウェア、ソーシャルエンジニアリングシナリオに対するシステムテスト。
4. 従業員教育
ソーシャルエンジニアリングの脅威を認識するためのスタッフ教育。
- スピアフィッシング認識: 疑わしいメールやリンクを特定する訓練。
- 認証情報の衛生: パスワードの使いまわしや、安全でないキーの保存を避ける。
5. 多様な資産管理
リスクの露出を制限するために資金を複数のウォレットに分散します。
- コールドとホットウォレットのバランス: 大部分の資金をコールドストレージに保管し、日常業務に最低限必要な金額をホットウォレットに保管。
- マルチシグネチャの分配: 異なる資産プールに異なるマルチシグネチャ設定を使用。
6. 異常検知システム
異常な取引パターンを検知し警告するツールを導入します。
- 機械学習モデル: 大規模な転送や異常な時間に行われる取引など、通常の活動からの逸脱を特定。
- リアルタイム警告: 疑わしい流出をセキュリティチームに通知。
7. 脅威の最新情報を保持
新たなサイバー脅威に対抗するために、セキュリティ対策を常に更新します。
- 脅威情報フィード: 新しい攻撃ベクトルを追跡するサービスを購読。
- ゼロデイ脆弱性への防御: 新たに発見された脆弱性に対応するためにパッチや更新を迅速に展開。
特に、ゼロデイ脆弱性を含むラザルスグループの高度な技術、洗練された社会工学、迅速な資金洗浄が考慮されたこれらの対策は不可欠です。
結論: 暗号資産業界への教訓
Bybitのハックは、歴史上最大の仮想通貨の強奪事件であり、特にラザルスグループのような国家スポンサーの攻撃者からのセキュリティの持続的な課題を示しています。
イーサリアムが依然として安全である一方で、この事件はデジタル資産を保護するための堅牢な内部プロセス、先進的なサイバーセキュリティ対策、継続的な監視が必要であることを浮き彫りにしました。
暗号資産エコシステムが進化する中で、取引所はユーザーの信頼と業務の回復力を優先し、このような危機を効果的にナビゲートする必要があります。
Bybitのトラブルは、最も安全なプラットフォームでさえ、人為的なエラーや洗練された攻撃に対する脆弱性があることを厳しく教えてくれます。サイバー犯罪に対抗するには、層状のセキュリティと業界全体の協力の重要性を強調しています。