米連邦捜査局は9月3日、北朝鮮の詐欺師とハッカーが仮想通貨関連の上場投資信託(ETF)関連の企業を標的にしていると発表した。
これらの暗号通貨 ETF に数十億ドルが流入しているにもかかわらず、投資家は自分の資産が完全に安全であると決めつけすぎる可能性があります。
ラザルス・グループなどの北朝鮮のハッカー集団は暗号通貨業界にとって馴染み深い存在であり、著名な取引所やブロックチェーン・プロトコルに対して数々のハッキングを行った疑いがある。
当局は、その原資産を狙うことで、暗号資産に裏付けられたETFが標的になる可能性を懸念している。
出典: FBI/エリック・バルチュナス
株式市場の ETF には、原資産価格を追跡し、それに応じて複製する強固なシステムが必要です。
ただし、スポット暗号ETFのファンドマネージャーは、運用資産総額(AUM)に一致する物理的なデジタル資産を、自らまたは第三者を通じて保管する必要があります。
これらのハニーポットは無視できないほど大きい。Farside Investorsのデータによると、スポットビットコイン(BTC)ETFの累計流入額だけでも2024年7月以降150億ドルを超えている。
スポットビットコインETFの累計流入額(百万米ドル)。出典:フェアサイド
さらに、投資家は仮想通貨ETFに数十億ドルを投入しているが、その資金の大部分は無保険だ。北朝鮮のハッカーがハッキングに成功し、裏付け資産を盗むことができれば、結果は悲惨なものになる可能性がある。
ビットコインまたはイーサリアム ETF がハッキングされたらどうなるでしょうか?
仮想通貨自己管理ウォレットCasaの共同創業者兼最高セキュリティ責任者ジェイムソン・ロップ氏は、ビットコインやイーサリアム(ETH)のETFがハッキングされた場合、停止されなければ「ETF自体がすぐにゼロになると予想される」とCointelegraphに語った。その後まもなく、ハッキングされたコインが清算され、市場全体でかなりの暴落が起こるだろう。
最近: ミームコインの「小売熱」はICOやNFTと同じ道を辿る可能性があると幹部が語る
脆弱性が発見された場合、「ハッキングを受けていないETFの投資家の多くは、ユーザーが最終的に壊滅的な損失のリスクを理解するため、ポジションを清算するだろう」とロップ氏は考えている。同氏は、市場がそのようなショックから回復するのにどのくらいの時間がかかるかを推測するのは難しいと述べた。
幸いなことに、コインベースは「ハッキングされても破壊されない」というアプローチをとっているため、ハッカーがコインベースから直接暗号資産を盗むことはまずないだろうと、暗号資産ウォレットプロバイダーのメタマスクの主任セキュリティ研究者テイラー・モナハン氏は語った。
出典: テイラー・モナハン
モナハン氏はXの投稿で、米国で仮想通貨担保型ETFの実質唯一の保管業者であるコインベースは、いつかはハッキングされるだろうと認めていると説明した。
成功の鍵は、ハッキングが発生した場合に大惨事を防ぐインフラストラクチャを積極的に構築することです。
分散型金融融資プロトコル「ムーンウェル」の共同設立者であり、コインベース・クラウドの元ソフトウェアエンジニアであるルーク・ヤングブラッド氏は、コインベースのセキュリティインフラには、ハッカーが実際に被害を与える前に突破しなければならない複数の層があると説明した。
同氏は、ハッカーが資金にアクセスする可能性は非常に低いが、仮に攻撃が成功したとしても、被害は限定的になるだろうと述べた。
ビットコインとイーサリアムETFの保険リスク
ロップ氏はコインテレグラフに対し、「多くのETF投資家が関連するリスクをすべて理解しているとは到底思えない」とし、投資家は資産が実質的に無保険であるという事実を無視する可能性があると考えていると語った。
「第三者保管業者の保険適用範囲は冗談のようです。関連するリスクと失われた資金の回収の難しさを考えると、これらの資産の全額を保険でカバーするのは単純に経済的ではありません。」
ブラックロックのiShares Bitcoin Trust ETFの目論見書には、ファンドの保管会社であるCoinbase Globalが最大3億2000万ドルの保険契約を提供していると記載されている。この金額は寛大に思えるかもしれないが、Coinbaseによると、この取引所は2690億ドル相当のデジタル資産を保管している。つまり、3億2000万ドルの保険契約では、運用資産のわずか0.12%しかカバーされないことになる。
Minc Lawのデジタルメディア弁護士であり、AR Media ConsultingのCEOであるアンドリュー・ロッソウ氏は、仮想通貨ETFの裏付け資産は「必ずしも」保険契約の対象となるとは限らないとCointelegraphに語った。同氏は、「保険適用が不十分で、顧客(とその資産)が金融リスクにさらされる可能性がある」と説明した。
ロッソウ氏は、保管会社の保険ポリシーは共有ポリシーに従っていると述べた。実質的には、「3億2000万ドルは、個々の顧客や仮想通貨ETFなどの特定の種類の資産に特別に割り当てられるのではなく、すべてのコインベースの顧客間で共同で共有される」のだ。
仮想通貨インデックスおよびETFプロバイダーのビットワイズの最高コンプライアンス責任者、キャサリン・ダウリング氏は、仮想通貨保管業者の間では、特定の顧客ではなく全顧客をカバーする金額の保険契約を結ぶのが一般的だとコインテレグラフに語った。
ロッソウ氏は、重大な損失が発生した場合、「保険で提供される補償総額では、起こり得るすべての請求をカバーするのに十分ではない可能性がある」と強調した。
さらに、暗号通貨 ETF は認可された金融商品であるため、証券投資者保護公社 (SIPC) の保険の対象となります。SIPC は顧客 1 人あたり 50 万ドルの保険を提供しており、これには 25 万ドルの現金限度額が含まれますが、条件があります。
SIPC は通常、登録証券会社が破産した場合に消費者を保護し、ETF などの証券口座内の証券が証券会社によって盗まれないようにします。
しかし、SIPC はビットコインやその他の商品など、これらの証券の裏付け資産を保証しません。その代わりに、証券がデジタル証明書であれ紙の証明書であれ、顧客の所有物であることを保証します。基本的に、SIPC はビットコイン ETF の株式を証券会社による盗難などの補償対象の損失から保護しますが、それらの株式を裏付けているビットコインは保護しません。
米国の暗号通貨保管部門は高度に集中化されている
ビットコインとイーサリアムの ETF でリーダーになろうとする動きにより、多くの暗号通貨 ETF 発行者が誕生しました。しかし、前述のように、Coinbase は事実上、すべての米国 ETF の唯一の保管人です。
コインベースの広報担当者はコインテレグラフに対し、同プラットフォームが好まれる選択肢としての地位は「実績、最先端の技術、暗号資産保管に関する深い専門知識」によるものだと語った。
Coinbase は「大多数の仮想通貨 ETF の信頼できる保管人としての役割を果たすことを誇りに思う」としているものの、実質的な中央集権化の問題は明らかです。
Timechain Indexのデータによると、9月初旬時点で808,619 BTCを保有する1つの組織が、ほぼすべてのEFTの裏付けとなる暗号通貨の保管を担当している。
出典: サニ/タイムチェーンインデックス
サイバーセキュリティ企業ハルブロンの共同創業者兼最高技術責任者スティーブン・ウォルブロール氏は、コインテレグラフに対し、コインベース・カストディは「ETF資金を保管する暗号通貨の鍵の安全を守る責任を最優先し、重視している」と語った。
しかし、セキュリティに対するこうした配慮にもかかわらず、同氏は、この分野の既存の集中化が業界にとって大きなリスク要因であると考えている。
「保管資産の大半を単一の組織が保有している場合、その過半数保有者に危害が及んだ場合、資産クラス全体にシステムリスクをもたらす可能性があると思う。」
ウォルブロー氏は、暗号資産の保管に関するセキュリティ基準を明確に定義した規制やコンプライアンス義務はないと述べた。同氏は、セキュリティプロトコルの詳細は公表されていないと示唆した。
最近のニュース: 米国の仮想通貨の将来にとって重要な議会選挙
ウォルブロー氏はまた、こうしたプロトコルを公開することでハッカーや悪意のある人物に貴重な情報を提供する可能性があることも認めた。しかし、プロトコルが公開されていないということは、「改訂が必要かどうかわからない」ということでもある。
同氏は、現在のシステムでは、業界は「保管者が必要とされる最も安全なプロトコルを実装していると信頼するしかない」と認めた。
多様化により、複数の保管プロバイダー間でリスクを分散でき、解決策となる可能性があります。ただし、ウォルブロー氏は、「多様化は、アクセスの複雑さや移転リスクなど、他の種類のリスクにもつながる可能性があります」と警告しています。
出典: ジェイムソン・ロップ
仮想通貨ETF運用会社の中で、フィデリティはファンドのデジタル資産を自己管理している唯一の企業だ。ロップ氏は「ETFを立ち上げるのに十分な規模の機関であれば、企業レベルの自己管理システムを構築し、維持することができる」と考えている。同氏は、透明性のない第三者へのアウトソーシングはリスクを伴うと主張した。
「すべてのETFは、自社のセキュリティ体制を改善するためにこれを実行すべきであり、ブラックボックスとして運営されている信頼できる第三者にセキュリティをアウトソーシングすべきではない。」
ブラックロックは、この記事に対するコインテレグラフのコメント要請を拒否した。
