参考元:トップ中央集権型取引所のハッキング:歴史から学ぶ教訓

近年、Mt. GoxやWazirXなどの集中型取引所(CEX)は外部からのハッキングにより多額の損失を被っており、FTXのような他の取引所も内部資金の不正使用により破綻した。業界大手のバイナンスやコインベースでさえ、世界で最も強力な金融規制当局による存続の脅威に直面している。

分散型取引所 (DEX) は、CEX を悩ませている 3 つの脅威 (ハッキング、詐欺、過剰規制) に対する効果的な保護を提供します。もちろん、「ハッキング」以外にも脅威はあります。たとえば、FTX の崩壊には、経営陣による顧客資金の管理ミスと悪用が含まれていましたが、DEX の固有の構造が透明性とユーザー制御を促進するため、DEX ではこれはあまり現実的ではありません。

この記事では、悪名高い侵害からシステム上の脆弱性まで、仮想通貨の世界は混乱を経験しました。ここでは、集中型取引所のハッキングのワースト 10 をレビューします。

10. Bithumb ハッカー攻撃: 繰り返される攻撃

2014 年に設立された Bithumb は、すぐに韓国の仮想通貨市場の基礎となり、登録ユーザー数は 800 万人を超え、取引高は 1 兆ドルを超えました。 Bithumb の評判にもかかわらず、繰り返し攻撃を受けてきました。

2017 年以降、Bithumb は複数の侵入を受けました。

2017 年 2 月: ハッカーが 700 万ドルを盗みます。

2018 年 6 月: 従業員の個人データが悪用され、約 3,200 万ドルの仮想通貨が盗まれました。

2019年3月:Bithumbは、EOSとXRPで約2000万ドルを失った後、入出金を一時停止する新たな侵害を発表した。

2019 年 6 月: Bithumb は別の攻撃を受け、ハッカーによって 3,000 万ドル相当のデジタル トークンが盗まれました。

2018 年 6 月のハッキングで Bithumb が報告した盗難資産

度重なる違反に対応して、科学技術省 (MIC) は徹底的な調査を開始しました。主な調査結果は次のとおりです。

  • ネットワークの分離が不十分です。

  • 貧弱な監視システムでは、通常の活動と不審な活動を区別できません。

  • 暗号化キーとパスワードの管理が不十分です。

9. WazirX 暗号通貨ハッキング

2024 年には 108 件のハッキングや詐欺により、4 億 7,300 万ドル相当の仮想通貨が失われました。 WazirX だけで、7 月にハッキングによって失われた仮想通貨総額の 86.4% を占めました。

インドのCEX WazirXは、2024年7月18日に出金を凍結した後、すべての取引を取り消す計画を発表した。その日、WazirX はウォレットの大規模な脆弱性攻撃を受け、その結果、2 億 3,000 万ドルを超える暗号資産が不正に送金されました。この攻撃は、イーサリアム上の WazirX のマルチシグネチャ ウォレットを標的としていました。

1億ドル以上の柴犬(SHIB)、2000万MATICトークン(1100万ドル)、6400億PEPEトークン(750万ドル)、570万USDT、1億3500万GALAトークン(350万ドル)が盗まれた。

WazirX は、ハードウェア ウォレットやアドレス ホワイトリストなどの高度なセキュリティ対策を採用しているにもかかわらず、高度な攻撃にさらされました。これには、包括的なセキュリティ監査とデジタル資産の保護の継続的な改善が必要です。秘密鍵を集中管理することのリスクは明らかです。

8. バイナンスハック: 暗号通貨の脆弱性を警告する厳しい警告

2019年、世界有数の仮想通貨取引所であるバイナンスは、大規模な集中型取引所ハッキングの被害に遭いました。 5 月 7 日、悪意のある攻撃者がフィッシングとウイルスを使用してバイナンスのセキュリティ システムを悪用し、ユーザーの 2 要素認証コードと API キーを盗みました。

この侵害により、彼らは一度の取引で取引所のホットウォレットから当時4,000万ドル以上に相当する7,074ビットコインを盗むことができました。

この事件後、Binance CEOのChangpeng Zhao氏は、極限状況でユーザーの資金を保護するためのユーザー向け安全資産基金(SAFU)の設立を発表した。こうした対策にもかかわらず、バイナンスは2022年10月に新たな大きなセキュリティ課題に直面した。ハッカーはクロスチェーンブリッジのBSCトークンハブを利用して、約5億7,000万ドルに相当する200万BNBトークンを違法に生成し盗みました。

7. KuCoin: ハリウッド風の盗難に遭った

2020年9月、KuCoinは集中型取引所ハッキングの中で上位にランクされるハリウッド風の盗難被害に遭った。ハッカーはまず、ビットコインとイーサリアムを謎のウォレットに盗むために狡猾な攻撃を開始しました。デジタル窃盗犯が KuCoin ホット ウォレットの秘密キーを盗むことで金庫へのアクセスを獲得したため、陰謀はさらに複雑になりました。

翌日、KuCoin CEOのジョニー・リュー氏が生放送で世界に向けて演説したとき、暗号通貨コミュニティはすでに緊張していた。 KuCoinチームは、残りの資金を新しいホットウォレットに移動し、盗まれたウォレットを閉じ、さらなるリスクを軽減するためにすべての顧客トランザクションを一時的に凍結することで迅速に対応しました。

さらなる調査により、盗まれた資金にはBTC、ETH、LTC、XRP、その他の暗号通貨が含まれており、総額約2億8,100万ドルに上ることが判明しました。多額の損失にもかかわらず、KuCoinが講じた積極的な措置により、数週間以内に盗まれた資金約2億400万ドルを回収することができました。

さらに興味深いのは、KuCoinが国際法執行機関と協力して、サイバー攻撃の原因を北朝鮮のハッキンググループとみられるとしているという事実である。

6. BitGrail: 内部の仕組み

イタリアの仮想通貨取引所ビットグレイルは、プラットフォームから1億2,000万ユーロ(1億4,655万ドル)が盗まれたことで論争に巻き込まれている。イタリア警察は、「FF」としても知られるフィラノ容疑者がハッキングに関与したか、脆弱性が最初に発見された後にセキュリティ対策を強化することを怠った可能性があると主張している。

この一連の事件により、フィラーノは約 23 万人のユーザーの資金を失い、コンピューター詐欺、不正破産、資金洗浄などの罪に問われています。これはイタリア史上最大の金融侵害の 1 つです。

その後、イタリアの破産裁判所は断固たる措置を講じ、FiranoとBitGrailの破産を宣告した。裁判所はまた、フィラノに対し、盗まれた資産を可能な限り顧客に返還するよう命じた。

さらに、裁判所は、100万ドル以上の私物とBitGrailアカウントからの数百万ドルの暗号通貨を含む、フィラノの資産の差し押さえを承認しました。裁判所は、BitGrailプラットフォームのソフトウェア欠陥により複数の不適切な出金要求が発生したと認定した。

BitGrail のような CEX では、すべての資産とセキュリティ対策の管理が集中化されているため、ハッカーにとって魅力的な標的となっています。

5. Poloniex: 2 つのハッキングの物語

Poloniex は 2 つの重大なセキュリティ侵害を受けました。

2014 年 3 月、ハッカーはソフトウェアの脆弱性を悪用して、当時の取引所のビットコイン保有量の 12.3% に相当する 97 ビットコインを盗みました。挫折にもかかわらず、Poloniex はなんとか立ち直り、影響を受けたユーザーに全額補償を行いました。

2023 年 11 月に早送りすると、取引所は再び攻撃を受け、今度はより深刻になりました。北朝鮮と関連のあるLazarusグループと思われる攻撃者は秘密鍵を盗み、Poloniexのホットウォレットから約1億2,600万ドルを盗みました。

その手口には、ソーシャル エンジニアリングやマルウェアを使用して重要な秘密キーを取得することが含まれます。このハッキングは、特定のアドレスにさまざまなトークンを送信したり、分散型取引所を利用して資金洗浄を行ったりするなど、高度な戦略に従っており、追跡と回収が困難でした。

4. ビットスタンプ盗難事件

サイバー犯罪者は、Bitstamp のシステム管理者 Luka Kodric を標的にしました。Luka Kodric は、取引所のセキュリティを侵害する悪意のあるファイルを知らずにダウンロードしました。このマルウェアは無害なドキュメント内に隠され、Bitstamp のサーバーに感染するスクリプトを起動し、ハッカーが重要な Wallet.dat ファイルとパスワードにアクセスできるようにしました。

Bitstamp はこの脆弱性を認識するとすぐに行動し、緊急対応チームを立ち上げ、全社に警告を発しました。これらの対策にもかかわらず、ハッカーはホット ウォレットから 18,866 ビットコインを盗むことに成功し、ハッキング時点で約 500 万ドルの損失が発生しました。

その余波を受けて、Bitstampは取引プラットフォームの大規模な刷新を行い、いじくり回すのではなくゼロから再構築することを選択した。彼らはインフラストラクチャをヨーロッパにある Amazon の安全なクラウド サーバーに移行し、マルチシグネチャ ウォレット アクセスを実装し、コールド ウォレット管理に Xapo を採用しました。

3. Bitfinex盗難事件

2016 年 8 月、Bitfinex はサイバー攻撃を受けました。ハッカーは、取引所の BitGo を利用したマルチシグネチャ セキュリティ システムの脆弱性を悪用しました。彼らはセキュリティプロトコルを操作して、Bitfinex のホットウォレットから 120,000 ビットコインを違法に引き出しました。

ハッキング後、Bitfinex は経済的損失について透明性を維持しました。損失は​​ユーザーアカウント全体に広がり、各アカウントの損失は 36% になります。損失を軽減するために、Bitfinex は影響を受けたユーザーに、米ドルまたは iFinex Inc. の株式と引き換え可能な BFX トークンを発行し、段階的な回復を促進しました。

2.コインチェックの盗難

2018 年 1 月末、日本の有名な仮想通貨取引所であるコインチェックは、史上最も深刻な集中型取引所ハッキング攻撃の 1 つを受けました。ハッカーは取引所のホットウォレットに侵入し、当時約5億3,400万ドルに相当する5億2,300万のNEMトークンを盗みました。

これまでの他のハッキングから学んだ教訓にもかかわらず、コインチェックは依然として、適切なマルチ署名保護が施されていないまま、大量の資産をホットウォレットに保管していました。攻撃直後、同取引所は盗まれた資金の流れを阻止するため、すべての入出金を停止した。

暗号通貨コミュニティは、盗まれた資産が清算されるのを防ぐためにすぐに結集した。 ShapeShiftなどの取引所は盗まれたNEMコインの取引を禁止し、さらなる取引を防ぐために問題のアドレスにフラグを立てた。こうした努力にもかかわらず、資金を完全に回収することは不可能です。

1. マウントゴックス: 忘れられないハッキング事件

マウントゴックスのハッキングは、主にその規模とタイミングにより、おそらく最も悪名高く注目を集めている暗号通貨窃盗事件であると言えます。この大規模なインシデントは、集中型取引所ハッキングの典型的な例です。

2011年、当時世界最大のビットコイン取引所だったマウントゴックスは初めて大規模なセキュリティ侵害に見舞われ、その結果25,000ビットコインが失われた。 2014 年に状況はさらに悪化し、約 85 万ビットコインが盗まれるという悲惨な盗難事件が発生しました。

このハッキングは大規模で、ビットコインの価格と世界の暗号通貨コミュニティの信頼に影響を与えました。 「私はほとんどすべてを失いました。デジタル通貨のセキュリティに対する見方が完全に変わりました」とフォーラムユーザーの一人はシェアし、ハッキングが個人的および経済的に広範囲に及ぶ影響を強調した。

セキュリティ上の注意事項を交換する

取引所のセキュリティ問題は、近年、特にいくつかの重大なセキュリティインシデントや内部問題が取引所の崩壊や資金の損失につながった後、暗号通貨業界全体の焦点となっています。セキュリティを向上させるために、取引所はさまざまな対策を講じることができます。

たとえば、資産の大部分をオフラインのコールド ウォレットに保存し、日々の取引ニーズに対応するためにオンラインのホット ウォレットに少量の資金のみを保存すると、ハッカーが大量の資金を盗むことに成功するリスクを大幅に軽減できます。一方、マルチ署名は複数のキー所有者にトランザクションへの署名を要求することで、単一のキーの漏洩による資金損失を防ぎます。