仮想通貨コラム

これまでで最大規模の暗号資産ハッキング事件+その他国内ハッキング事件

これまでで最大規模の暗号資産ハッキング事件をリストアップしています。

1. Ronin(ローニン)| 6億2500万ドル

RoninはPlay to Earn(ゲームして稼ぐ)型のブロックチェーンゲームの中で最も人気のあるAxie Infinityのサイドチェーンです。Axie Infinityは2018年に公開されたAxieと呼ばれる仮想の生き物や土地のNFTを売買するブロックチェーンゲームで、Ethereumを基盤としています。ゲームが人気急騰しスケーラビリティ問題に対応するのためRonin Networkサイドチェーンを開発・導入しました。

2022年3月23日、バリデーターノードが不正アクセスされ、ハッカーは「ハッキングした秘密鍵を使って、不正な引き出しを行い」、2回にわたって、合計17万3600ETHと2550万USDC(合計6億2500万ドル相当)を引き出しました。

ゲームを提供するSky Mavis(本社シンガポール)によると、ハッキングのきっかけについて、昨年11月にネットワーク上の膨大なユーザー負荷軽減のために作った無料トランザクションのための機能が原因の1つだと説明しています。

Sky Mavisは、Roninブリッジハックの被害者に対して補償を開始すると発表。2022年6月末に補償が開始され、Axie InfinityのRoninサイドチェーンも再開されました。

2. Poly Network(ポリーネットワーク) | 6億1100万ドル

Poly Networkは分散型金融(DeFi)分野のプラットフォームであり、2021年8月10日に大規模な攻撃を受けました。ハッカーは約6億1100万ドル分の暗号資産を盗みましたが、その後、不正流出した暗号資産(仮想通貨)のほぼ全額がハッカーから返還されました。ハッカーは返還開始後のデジタルメッセージで、ハッキングは「遊びでやった」と説明。他の人たちに悪用される前に「脆弱性を暴露」したかったとし、「一貫して」返還を意図していたと表明しました。

Poly Networkは今後のサービス再開への対応として、脆弱性修正のために複数の監査グループと協力してコードの確認を行う他、グローバルバウンティプログラムを計画しているとのことです。

3. Binance(バイナンス)|5億7000万ドル

2022年10月6日、大手暗号資産取引所バイナンスのクロスチェーンブリッジであるBSCトークンハブがハッカーによって悪用され、合計で200万BNB(約5.7億ドル相当)が不正に発行され引き出されました。BNBはバイナンス取引所のネイティブトークンです。スマートコントラクトのバグによりハッキングが可能となったということで、ブロックチェーンのセキュリティを強化する必要性が浮き彫りになりました。

バイナンスはネットワーク全体、バイナンススマートチェーン(BSC)またはBNBチェーンの一時的な凍結を発表しましたが、その後バイナンスCEOであるチャンポン・ジャオ(Changpeng Zhao:CZ)氏から 「この問題は現在解決されています。あなたの資金は安全です」と報告されました。

4. 国内取引所コインチェック | 5億2300万ドル

2018年1月、コインチェックから5億2300万 のXEM (ネム)が流出しました。被害総額は日本円で約580億円相当、被害にあった人は 約26万人 にもなると言われ、その当時は世界最大のハッキング事件でした。ハッキングは最終的に、コインチェックの従業員のマルウェアに感染したラップトップから始まったことが特定されました。感染はロシアのハッキングギャングに起因し、フィッシングメールを介して扇動された可能性が最も高いようです。

コインチェックはXEMを保有していた全ての顧客に日本円で被害額を返済しましたが、ハッキング当時よりNEXの価値が大きく下落していたため、顧客としては損をする形となりました。その後、大手マネックスグループの子会社となりセキュリティ体制を大幅強化したうえで再出発しています。

5. Mt Gox(マウントゴックス) | 4億7000万ドル

2014年、日本の暗号取引所であるマウントゴックスは、すべての暗号取引の70%以上を処理する世界最大級の仮想通貨取引所でした。しかし2014年2月、同社は突然ビットコインの取引を全面的に停止します。当初はシステム障害が原因だと発表したものの、後日、サーバーがハッキングされ資金が流出したことが原因だと発覚しました。セキュリティシステムが不正操作されたことにより

この事件により会社は破綻に追い込まれましたが、その後当時の社長だったマルク・カルプレス氏が逮捕されるという異例の展開となりました。2017年にはロシア人の男性が逮捕され、現在も捜査が続いています。

6. FTX(エフティ―エックス) | 4億1500万ドル

2022年11月11日、大手仮想通貨取引所FTXが破産を宣言しました。連邦破産法第11条の適用を申請したその日、同社の仮想通貨ウォレットから4億ドル以上が盗まれました。

FTXは債権者への報告で、破産申請以降、FTXの海外交換所からサイバー攻撃によりこれまでに約4億1500万ドルの暗号資産が流出したと明らかにしました。

FTX取引所の破産は仮想通貨史上最大のスキャンダルの1つで、破綻には多くの要因がありましたが、最大の間違いは名目上FTXとは別の商社であるアラメダ・リサーチの資産とユーザー資産を混合していたことでした。アラメダはFTX顧客の資金を使って危険な賭けをし、両社に流動性危機を引き起こしました。元CEOサム・バンクマン・フリード氏と他の幹部は証券詐欺からマネーロンダリングまで幅広い犯罪で告発されています。

6. Wormhole Bridge (ワームホールブリッジ) | 3億2500万ドル

Wormhole Bridgeは、イーサリアムやSolana、Polygon、BSC、Avalanche、Terraといった複数のブロックチェーンを繋ぐ人気のブリッジです。このWormhole Bridgeで2022年2月2日、3億2500万ドル(約373億円)相当が盗まれるというのハッキング事件が発生しました。今回のハッキング対象となったのは、イーサリアムとSolanaを繋ぐ部分のブリッジで、攻撃者はガーディアンの署名を偽装し、Solana上で120,000ETHを鋳造し、そのうち93,750をイーサリアムにブリッジして戻すことができたとしています。

チェーン間のブリッジでは通常、片方のチェーンで発行されていたトークンをコントラクトにロックし、もう片方でも同様に擬似トークンを発行します。擬似トークンを発行したタイミングで元のチェーンでロックしていたトークンをバーン(焼却)することで、トークンがチェーンを移動したかに見せる仕組みとなっています。今回は、元のチェーンのトークンを実際には発行せずに発行したかのように見せられるバグが存在しており、この脆弱性がつかれたということです。

その他の国内のハッキング事件

BITPoint(ビットポイント)で35億円相当の不正流出事件

「BITPoint(ビットポイント)」は株式会社リミックスポイントが運営する仮想通貨交換所です。流出した仮想通貨はBitcoin、Bitcoin Cash、Ethereum、Litecoin、Rippleの5銘柄で、約5万人が被害を受けることになりました。原因は外部からの不正アクセスと報じられています。ビットポイントは顧客に全ての被害を返還しました。

Zaif(ザイフ)で70億円相当がハッキングされ盗まれる

2018年9月にZaifは外部からの不正アクセスにより、BTC、MONA、BCHの計約70億円相当が流出しました。ハッキングを受けたのは入出金用のホットウォレットを管理するサーバーで、不正アクセスを受け外部のアドレスに仮想通貨が送金されてしまいました。顧客の資産は事業を譲渡を受けた株式会社フィスコから全額返金されました。

Liquidから約100億円がハッキングを受け外部に送金される

2021年8月19日に外部から不正アクセスを受け、69種類の暗号資産、約9135万ドル(約100億円)の仮想通貨が不正送金されました。顧客の資産への被害はなく、シンガポールにある同社のウォレットが被害を受けました。緊急時バックアップ用のリカバリー鍵を悪用することで、不正アクセスされてしまったと判断されました。

まとめ

このように仮想通貨取引所はハッカーの主要な標的となっており、常に攻撃に晒されています。また、分散型金融(DeFi)の出現に伴ってスマートコントラクトプラットフォームもまたハッカーの標的になっています。

暗号資産の取引ではこういったトラブルに巻き込まれても必ず返金される訳ではありません。国内の業者は補償してくれる可能性が高いですが、海外取引所やDeFiでの取引では、返金される可能性が低いということを知っておく必要があります。