ハッキングされた中央集権的取引所トップ・ラウンドアップ：歴史から学ぶ

出典:Beosin

参考:Top Centralised Exchange Hacks: Lessons Learned from History

近年、Mt.GoxやWazirXのような中央集権型取引所（CEX）は、外部からのハッキング攻撃によって大きな損失を被りました。また、FTXのような他の取引所は、内部での金融不正行為により崩壊しました。業界大手のCoinやCoinbaseでさえ、世界で最も強力な金融規制当局からの存亡の危機に直面しています。

分散型取引所（DEX）は、CEXを苦しめてきたハッキング、詐欺、過剰規制という3つの大きな脅威から効果的に身を守ることができます。もちろん、「ハッキング」以外の脅威もある。例えば、FTXの破綻には、その幹部による顧客資金の管理ミスや不正使用が絡んでいたが、本来の構造上、透明性とユーザー・コントロールが促進されるDEXでは、このようなことは起こりにくい。

この記事では、暗号通貨の世界が混乱に見舞われる中、悪名高い侵入からシステム的な侵害まで、中央集権的な取引所におけるハッキング史上最大の侵害を探ります。ここでは、中央集権的取引所ハッキングのワースト10をレビューします。

10.Bithumbハック：度重なる被害

2014年に設立されたBithumbは、瞬く間に韓国の暗号通貨市場の要となり、登録ユーザー数は800万人を超え、取引高は1兆ドルを超えました。その評判とは裏腹に、Bithumbは度重なる攻撃を受けてきた。

2017年に始まり、Bithumbは複数の侵害に見舞われた：

2017年2月：ハッカーが700万ドルを盗んだ。

2018年6月：従業員の個人データが暗号通貨の約3,200万ドルを盗むために利用された。

2019年3月：Bithumbは再び侵入されたと発表し、約2000万ドルのEOSとXRPを失った後、入出金を停止した。

2019年6月：Bithumbは再び攻撃を受け、ハッカーは3000万ドル相当のデジタルトークンを盗んだ。 

2018年のBithumb。6月のハッキングで盗まれたと報告された資産

度重なる侵害を受けて、韓国の科学技術省（MIC）は徹底的な調査を開始し、以下のような主な発見がありました：

• ネットワークの分離が不十分。

• 正常な活動と不審な活動を区別できないお粗末な監視システム。

• 不十分な暗号化キーとパスワード管理。

9.WazirX暗号通貨ハッキング事件

2024年には108件の事件で、4億7300万ドル相当以上の暗号通貨がハッキングや詐欺で失われました。WazirXだけで、7月にハッキングで失われた暗号通貨全体の86.4%を占めました。

インドのCEX WazirXは2024年7月18日、引き出しの凍結後、すべての取引を撤回する計画を発表した。その日、WazirXは大規模なウォレット侵害攻撃を受け、2億3000万ドル以上の暗号資産が不正送金されました。この攻撃はイーサ上のWazirXのマルチシグネチャ・ウォレットを標的としていました。 

1億ドル以上のShiba Inu（SHIB）、2000万MATICトークン（1100万ドル）、6400億PEPEトークン（750万ドル）、570万USDT、1億3500万GALAトークン（350万ドル）が盗まれました。

ハードウェアウォレットやアドレスホワイトリストなどの高度なセキュリティ対策にもかかわらず、WazirXは高度な攻撃を受けました。これは、デジタル資産の保護における包括的なセキュリティ監査と継続的な改善を求めています。中央集権的な秘密鍵管理のリスクは明らかです。

8.CoinSecのハッキング：暗号通貨の脆弱性を痛感させられる

2019年、世界有数の暗号通貨取引所であるCoinSec（Binance）が大規模な集中型取引所ハッキングに見舞われました。5月7日、悪意のある攻撃者がフィッシングとウイルスを使用してCoinのセキュリティシステムを攻撃し、ユーザーの2要素認証コードとAPIキーを盗みました。

この侵入により、彼らは1回の取引で取引所のホットウォレットから7,074ビットコイン（当時4,000万ドル以上の価値）を盗むことができました。

この事件の後、CoinSecの最高経営責任者（CEO）であるChangpeng Zhao氏は、極端なケースにおいてユーザーの資金を保護するため、SAFU（Secure Asset Fund for Users）の創設を発表しました。こうした対策にもかかわらず、CoinSecは2022年10月にも大きなセキュリティ上の問題に直面した。ハッカーがクロスチェーンブリッジのBSCトークンハブを利用して、200万BNBトークン（約5億7000万円）を不正に生成し、盗み出したのだ。

7.KuCoin：ハリウッドスタイルの盗難に遭う

2020年9月、KuCoinはハリウッドスタイルの盗難に遭い、集中型取引所のハッキングのトップにランクインしました。ハッカーたちはまず、ビットコインとイーサリアムを謎のウォレットに盗むという狡猾な攻撃を開始した。デジタル窃盗団がコインのホットウォレットの秘密鍵を盗むことで金庫にアクセスしたため、陰謀はより複雑になりました。

翌日、KuCoinのCEOであるJohnny Lyu氏がライブストリームで世界に向けて演説したとき、暗号コミュニティはすでに緊迫していました。KuCoinチームは迅速に対応し、残りの資金を新しいホットウォレットに移し、盗まれたウォレットをシャットダウンし、さらなるリスクを軽減するためにすべての顧客取引を一時的に凍結しました。

さらに調査を進めたところ、盗まれた資金はBTC、ETH、LTC、XRPなどさまざまな暗号通貨に関係しており、その総額は約2億8100万ドルに上ることが判明しました。大きな損失にもかかわらず、KuCoinの積極的な対策により、数週間以内に約2億400万ドルの盗まれた資金が回収されました。

さらに興味をそそられるのは、KuCoinが国際的な法執行機関と協力し、サイバー攻撃を北朝鮮のハッキンググループと疑われる人物のせいにしたことです。

6.BitGrail：内部犯行

イタリアの暗号通貨取引所BitGrailは、同社のプラットフォームから1億2000万ユーロ（約1億4655万円）が盗まれたことで、論争に巻き込まれています。イタリアの警察は、Firano（通称「FF」）がハッキングに関与している可能性がある、または最初に侵害を発見した後、過失でセキュリティ対策を強化しなかったとして非難しています。

一連の出来事により、約23万人のユーザーの資金が失われ、フィラーノは、イタリア史上最大級の金融侵害において、コンピューター詐欺、詐欺破産、マネーロンダリングの罪に問われている。

その余波を受けて、イタリアの破産裁判所は断固とした措置を取り、FiranoとBitGrailの破産を宣言した。裁判所はまた、Firanoに対し、盗まれた資産を可能な限り顧客に返却するよう要求しました。

さらに裁判所は、100万ドル以上の私物とBitGrailの口座にある数百万ドルの暗号通貨を含む、Firanoの資産の差し押さえを承認した。裁判所は、BitGrailプラットフォームのソフトウェアの欠陥が、複数の不適切な引き出し要求につながったと認定した。

BitGrailのようなCEXでは、すべての資産とセキュリティ対策の管理が一元化されており、ハッカーにとって魅力的な標的となっている。

5.Poloniex：2つのハッキングの物語

Poloniexは2つの深刻なセキュリティ侵害に見舞われました。

2014年3月、ハッカーはソフトウェアの脆弱性を悪用し、97ビットコイン（当時の取引所のビットコイン保有量の12.3%）を盗みました。この挫折にもかかわらず、Poloniexは何とか立ち直り、影響を受けたユーザーに完全に補償しました。

そして2023年11月、取引所は再び攻撃を受け、今度はより深刻な被害を受けました。北朝鮮とつながりのあるLazarus Groupと思われる攻撃者が秘密鍵を盗み、Poloniexのホットウォレットから約1億2600万ドルを盗みました。

その手口には、ソーシャルエンジニアリングやマルウェアを使って重要な秘密鍵にアクセスするというものがありました。ハッキングの後、特定のアドレスに異なるトークンを送ったり、分散型取引所を使って資金洗浄を行うなど、高度な手口が使われ、追跡や回収が困難になりました。

4.ビットスタンプの盗難

サイバー犯罪者は、ビットスタンプのシステム管理者であるルカ・コドリック（Luka Kodric）を標的にし、彼は無意識のうちに取引所のセキュリティを侵害する悪意のあるファイルをダウンロードしました。無害な文書に隠されたマルウェアは、ビットスタンプのサーバーに感染するスクリプトを起動し、ハッカーに重要なwallet.datファイルとパスワードへのアクセスを与えました。

ビットスタンプは脆弱性に気づいてから迅速に行動し、緊急対応チームを立ち上げ、全社に警告を発しました。こうした対策にもかかわらず、ハッカーはホットウォレットから18,866ビットコインを盗むことに成功し、ハッキング時の損失は約500万ドルに達しました。

その後、ビットスタンプは取引プラットフォームの大規模な刷新を行い、パッチを当てるのではなく、完全な再構築を選択しました。インフラをヨーロッパのアマゾンの安全なクラウドサーバーに移行し、マルチシグネチャのウォレットアクセスを実装し、コールドウォレット管理のためにXapoを雇った。

3.ビットフィネックスの盗難

2016年8月、ビットフィネックスはサイバー攻撃を受けました。ハッカーは、BitGoが提供する取引所のマルチ署名セキュリティシステムの脆弱性を悪用しました。彼らはセキュリティプロトコルを操作し、ビットフィネックスのホットウォレットから12万ビットコインを不正に引き出した。

ハッキング後、ビットフィネックスは金銭的損失について透明性を保ちました。損失はユーザーアカウントに分散され、各アカウントは36％を失った。損失を軽減するために、Bitfinexは影響を受けたユーザーにBFXトークンを発行し、これは徐々に回復を促進するために米ドルまたはiFinex Inc.の株式と交換することができます。

2.コインチェックの盗難

2018年1月下旬、日本を代表する暗号通貨取引所であるコインチェックは、史上最悪の集中型取引所ハッキングに見舞われました。ハッカーは取引所のホットウォレットを侵害し、5億2300万NEMトークンを盗みました。

以前のハッキングから学んだ教訓にもかかわらず、コインチェックは大量の資産をホットウォレットに保管し、適切なマルチシグネチャ保護を欠いていました。攻撃直後、取引所は盗まれた資金の流れを止めるため、すべての入出金を停止しました。

暗号通貨コミュニティは盗まれた資産が清算されるのを防ぐためにすぐに結集し、ShapeShiftなどの取引所は盗まれたNEMコインの取引を禁止し、関連するアドレスにフラグを立ててさらなる取引をブロックしました。こうした努力にもかかわらず、資金の完全な回収はまだ実現不可能です。

1.マウントゴックス：忘れられないハック

マウントゴックスのハッキングは、その規模と発生時期によるところが大きいのですが、間違いなく史上最も悪名高く、話題になった暗号通貨の盗難事件です。この大きな出来事は、中央集権的な取引所のハッキングの典型的な例です。

2011年、当時世界最大のビットコイン取引所だったMt.Goxは、初の大規模なセキュリティ侵害に見舞われ、2万5000ビットコインが失われました。

このハッキングは大きな衝撃を与え、ビットコインの価格と世界の暗号通貨コミュニティの信頼に影響を与えた。「私はほとんどすべてを失いました。デジタル通貨のセキュリティーに対する見方が永遠に変わりました」と、あるフォーラム・ユーザーは共有し、ハッキングが個人的にも経済的にも広範囲に影響を及ぼしたことを強調した。

取引所のセキュリティに関する注意事項

取引所のセキュリティは、近年、暗号通貨業界全体にとって焦点となっています。セキュリティーを向上させるために、取引所が取ることのできる対策はさまざまあります。

例えば、資産のほとんどをオフラインのコールドウォレットに保管し、接続されたホットウォレットには日々の取引ニーズに対応するための少額の資金のみを保管することは、ハッカーが大量の資金を盗み出すことに成功するリスクを大幅に減らす方法です。一方、複数の鍵保持者が取引に署名することを要求することで、複数の署名が1つの鍵の漏洩による資金の損失を防ぎます。

専門のブロックチェーンセキュリティ会社を雇うことで、取引所はシステムの包括的なセキュリティ監査を行い、潜在的な脆弱性を特定してパッチを当てることができます。例えば、スマートコントラクトの監査により、脆弱性による資金の損失を防ぐことができます。

リアルタイムの監視と脅威の検知：リアルタイムのネットワーク監視を導入することで、異常な活動を迅速に特定し、攻撃を防ぐための対策を採用することができます。厳格なKYCおよびKYT対策により、取引所は違法な資金がプラットフォームに流入するのを防ぎ、マネーロンダリング活動のリスクを減らすことができます。また、専門のセキュリティ会社と協力し、定期的に体系的なセキュリティ評価と侵入テストを実施することで、取引所が潜在的なサイバー脅威を防止し、対応できるようにします。