仮想通貨 史上最大の窃盗事件トップ5

盗まれたのは数億ドル相当の仮想通貨。過去最大額の被害が出たハッキング事件5件を解説します。

盗まれたのは数億ドル相当の仮想通貨。過去最大額の被害が出たハッキング事件5件を解説します。

仮想通貨は近年、サイバー犯罪者の標的とされており、実は驚くほど頻繁にハッキングされています。通貨を盗む方法は数多くあり、被害にあった人が、仮想通貨を取り戻すのは非常に困難です。ハッカーのなかには、仮想通貨取引所を攻撃し、数千万から数億ドルといった大金を手に入れた者もいます。仮想通貨の歴史において、大規模な窃盗事件上位5件をご紹介します。また最後におまけとして、ドラマシリーズ化しても良いといわれるほど興味深い暗号資産窃盗事件も解説します。

第5位 スケルトン・キー

被害者: KuCoin仮想通貨取引所

発生日時: 2020年9月26日

損失額: 約2億8,500万ドル

2020年9月25日夜から26日未明にかけ、シンガポールに拠点を置く大手仮想通貨取引所、KuCoinのセキュリティ担当者が、複数のホットウォレットの異常な取引を確認しました (英語記事)。不審な取引を止めるため、会社は攻撃を受けたと認識したのち、 ホットウォレットに残っていたアセットをコールドストレージに 移しました。検知から終了まで、インシデント対応には約2時間かかりました。この間、犯人は、総額約 2億8,500万米ドル (英語ページ)相当の仮想通貨を盗むことに成功しました。

捜査のなかで犯人は、ホットウォレットの秘密鍵を入手していたことが明らかになりました。この事件に関わったのは、韓国語話者の持続的標的型攻撃、 APT (英語ページ)ハッカー集団、Lazarus(ラザルス)グループだと見られています。その理由についてKuCoin社は、攻撃者が多層アルゴリズムを使用して奪った仮想通貨を洗浄しており、これは、ラザルスがこれまでに盗んだ資産のロンダリング方法と似ているからだと述べています。ラザルスは、同じ額の仮想通貨を タンブラー (別名ミキシング、痕跡を分かりにくくするために、他人の仮想通貨と自分の仮想通貨を混ぜるツール、リンク先は英語ページ)にかけます。それから 分散型プラットフォーム を介して仮想通貨を異なる口座に分配します。

大規模なハッキング事件だったにも関わらず、KuCoinは、取引を中止せずに、事業を継続させることができました。窃盗事件の翌日、KuCoinのジョニー・リューCEOは、被害に遭った顧客に対して、盗まれた資金を全額返済することを約束しました。リュー氏はその約束通り、2020年11月、盗まれた資金のうちの84%を所有者に返済した (英語ページ)ことをツイートで明かしました。残り16%は、KuCoinの保険基金がカバーしたということです(英語ページ)。

第4位 どこからか突然現れたお金

被害者: Wormhole(ワームホール)クロスチェーンブリッジ

発生日時: 2022年2月2日

損失額: 3億3,400万ドル

トップ5のうち次に紹介するのは、ワームホールというクロスチェーンブリッジプロトコル (英語ページ)の脆弱性を突かれた窃盗事件です。この事件は、プラットフォームの開発者がプログラムのコードを公開したことが原因であるといわれています。

ワームホールは、複数のブロックチェーン間での仮想通貨の取引を支援するプラットフォームです。特に、ユーザーは、Ethereum(イーサリアム)とSolana(ソラナ)という2つのネットワークの間でトークンを送り合うことができます。トークンが1つのチェーンで凍結されると、もう一方で同額の「ラップドトークン」と呼ばれるものが発行される仕組みです。

ワームホールは、独自のレポジトリをGitHubに持つオープンソースプロジェクトです。窃盗事件発生の少し前、開発者はそこにコードを配置し、プロトコルの脆弱性を修復していました。攻撃者はバグが修正される前に、そのセキュリティの 脆弱性を悪用 したのです。

このバグにより、犯人は、ソラナ側で 取引の際に行われる検証をくぐり抜け (英語ページ)、120,000「ラップドETH」(攻撃当時約3億3,400ドル相当の価値)を、イーサリアムブロックチェーンで同額の仮想通貨を凍結させることなく、発行することができました。サイバー犯罪者は、うち3分の2をイーサリアムウォレットに移し、残りで他のトークンを購入しました。

ワームホールは攻撃者に対して、盗んだ資金を返還し、詳細を明かせば、1000万ドル (英語ページ)の報酬金を提供すると訴えました。しかし、犯人はこの提案に応じませんでした。

窃盗事件の翌日、ワームホールは、すべての資金をユーザーに返還し、ブリッジは以前と同じように稼働していると ツイートしました (英語ページ)。不足した資金については、事件発生の6か月前にワームホールのデベロッパーを買収したJump Tradingによって補われました (英語ページ)。犯人はいまだに明らかになっていません。

第3位 窃盗期間3年

被害者: マウントゴックス(MTGOX)

発生日時: 2014年2月

損失額: 4億8,000万ドル

マウントゴックス社の起源 (英語記事)は、2007年に遡ります。当時、日本在住アメリカ人実業家のジェド・マカレブ氏が、 「マジック:ザ・ギャザリング」 という人気トレーディングカードの交換所を設立するためにウェブサイトのドメインを登録したことがきっかけです。その3年後、マカレブ氏は事業方針を転換し、そのウェブドメインを使って仮想通貨交換所を設立しました。その後2011年、その事業はフランス人開発者のマルク・カルプレス氏が引き継ぎ、たった2年で、マウントゴックスは、世界のビットコイン取引量の約70%を占める 取引所となりました (英語ページ)。

しかし、2014年2月7日、サーバーがハッキングされたことが原因で、突然取引が全面停止されました。当初、同社はシステム障害が原因だと 主張しました (英語ページ)。憤慨したユーザーは、東京にあるマウントゴックス本社の外に集まり、賠償を求めて抗議活動を行い、国内外で大きく報道されました。

事件が公になったのは2014年2月のことでしたが、実は、2011年からマウントゴックス社がハッキングの被害を受けていたことが明らかになっています。当時、正体不明のハッカーが、交換所にあるホットウォレットへの秘密鍵を 入手し (英語記事)、徐々にそこからビットコインを盗んでいました。2013年までに、犯人は、630,000 BTCを自身の口座に入金していたといいます。

マウントゴックスが民事再生法適用申請を開始し、事件が明るみになったのは、2014年2月28日のことでした。その際、カルプレス氏は破産を宣言し (英語記事)、ユーザー保有分の約75万 BTC、自社保有分の10万 BTCが失われるという「システムの弱点」があったことを謝罪しました。当時、約4億8,000万ドル相当が流出したとされています。これは、取引所が破産を申請した前日、つまり2月27日時点での交換レートで換算された金額です。しかし、マウントゴックスが取引を停止してから破産を宣言するまでの間に、ビットコインの価格は大幅に下落しています。2月6日時点(交換所が事実上閉鎖された日の前日)の交換レートで計算すると、損失額は約6億6000万ドルに換算されます。犯人が窃盗し続けた3年もの間、交換レートは大きく変動したため、正確な損失額は明確にすることが困難です。

2014年2月時点でのビットコインの交換レート

2014年2月時点でのビットコインの交換レート出典

マウントゴックス社はなぜ、サイバー攻撃の標的にされたのでしょうか。 元従業員は (英語ページ)、会社の経営陣のずさんな管理体制が原因だと話しています。例えば、マウントゴックス社は、深刻な財政問題を抱えていました。さらに、社内のクオリティ、セキュリティ監査は、一切行われてきませんでした。例を挙げると、ソースコードのバージョン管理システムすら導入されていなかったのです。

さらに、マウントゴックスの経営者であったカルプレス元CEOが、顧客からの預かり金の一部、約300万ドルを横領したと、罪に問われました (英語記事)。その後2019年、カルプレス氏の横領の容疑については無罪が確定しましたが、データ改ざんの罪で懲役2年6か月の刑を言い渡されています。

第2位 ほぼ5億

被害者: Coincheck(コインチェック)仮想通貨取引所

発生日時: 2018年1月26日

損失額: 4億9,600万ドル

史上最大の仮想通貨窃盗事件、第2位は、2018年に日本で発生したコインチェック不正流出事件です。コインチェックは、大手仮想通貨取引所の一つです。 2018年、コインチェックが保持している仮想通貨のうちNEM(ネム)が外部に流出、当時のレート換算で約5億ドル相当が盗難される事件が発生しました (英語記事)。

同社は、セキュリティ体制が強固なものであると主張し続け、侵入経路や攻撃の方法など、詳細を明らかにしませんでした。一方、複数の専門家は、サイバー犯罪者が、コインチェック社内のパソコンに埋め込まれたマルウェアを用いて、ホットウォレットの秘密鍵を入手したと考えています。

犯人は、ビットコインやその他の仮想通貨と引き換えに、盗んだNEMトークンを15%引きで 販売する (英語ページ)独自のウェブサイトも作成しました。その結果、NEMの交換レートは急激に下落し、コインチェックは、当時の換算レートで約5億ドルを損失しました。しかし、この事件で同社が閉鎖に追い込まれることはありませんでした。また、犯人の真相も明らかになっていません。一時的にコインチェックの取引は停止されましたが、同社はユーザーへの 補償を約束しました。

Coincheckでのインシデント後のNEMの交換レート

Coincheckでのインシデント後のNEMの交換レート出典

第1位 サイバー攻撃と仕事のオファー

被害者: Ronin Networkブロックチェーン

発生日時: 2022年3月23日

損失額: 5億4,000万ドル

Ronin Networkは、ベトナムのゲームスタジオ、Sky Mavisが、P2Eゲーム 「Axie Infinity」 (英語ページ)のために、特別に開発したものです。このプラットフォームでユーザーはゲーム内仮想通貨 Smooth Love Potion(SLP) (英語ページ)を購入できます。2022年3月下旬、ある攻撃者が、Roninから5億4,000万ドル相当の仮想通貨を 盗みました (英語記事)。犯人は、スパイウェアとソーシャルエンジニアリングの手口を使って攻撃を仕掛けました。

この標的型攻撃 (英語ページ)の標的は当初、Sky Mavisの従業員で、ある従業員が犯罪者の誘い(おそらくLinkedInを使って)に騙されたことが原因で起きたと見られています。偽の「採用面接」を通過したとして、同社の上級エンジニアの一人が、スパイウェアが含まれたPDFファイルで、「仕事のオファー」を受け取りました。その結果、犯人は、ネットワークの秘密 バリデーター (英語ページ)鍵4つをコントロールできるようになりました。

会社のアセットへのアクセス権を取得するために、彼らは9つのバリデーターのうち少なくとも5つに不正アクセスする必要がありました。犯人はすでに4つの鍵を入手していたので、5つ目の鍵は会社の過失が原因で流出したとみられています。Ronin Networkはユーザー数を減らすために、Axie DAO(分散型自律組織 、リンク先は英語ページ)を許可し、取引を承認しましたがこの許可を無効にするのを忘れてしまったのです。

しかし、Sky Mavisは迅速にインシデントに対応しました。2022年6月、会社はブロックチェーンを再びローンチし (英語ページ)、被害に遭ったプレイヤーへの補償を提供しました。

ブロックチェーンをベースとしたゲーム「Axie Infinity」のNFTキャラクター

ブロックチェーンをベースとしたゲーム「Axie Infinity」のNFTキャラクター複製

おまけ。ハッキングのお返し

標的: Poly Networkクロスチェーンプロトコル

発生日時: 2021年8月10日

損失額(後に取り戻した額): 6億1,000万ドル

最後に、大規模な仮想通貨窃盗事件の話を終えましょう。

Poly Network (英語ページ)とは、複数のブロックチェーンの相互運用を可能にするプロトコルです。2021年夏、仮想通貨の歴史の中で最大規模の窃盗事件の1つが発生しました。ハッカーの一人が、Poly Network内の脆弱性を悪用し、 6億ドル相当の様々な仮想通貨を盗んだのです (英語ページ)。

その後Poly Networkは、Twitterで、盗んだトークンを返すよう犯人に 訴えかけました (英語ページ)。ハッカーはその後、攻撃を実行したPoly Network社に連絡し (英語ページ)、資金返済の要求に応じました。一度あたりの返済額にばらつきはあるものの、ハッカーと同社は複数回にわたり、少しずつトークンの送金を進めていきました。

ハッカーとPoly Networkの交渉には、時間がかかりました。その間、犯人は、実は金銭目的ではなく、「イデオロギーだけを理由に」窃盗事件を起こしたと話しています。感謝の印として、Poly Networkは訴訟を取り下げ、彼の身分を明かさないことを保証して、さらに500,000ドルを報酬として 支払いました。 (英語ページ)さらには、セキュリティコンサルタント主任として、仕事のオファーまで出しました。また、同社は、バグを見つけて500,000ドルの報酬が支払われるバグバウンティプログラム (英語ページ)を開始しました。

事例から学ぶ教訓はない…?

仮想通貨窃盗事件トップ5はすべて、大企業を狙ったものです。しかし、私たちも被害に遭う可能性がある、よりマイナーなインシデントは頻繁に報告されています。そのため、いかなる投資する人たちは、自分の資産を守るための措置を講じる必要があります。

  • 取引など運用を行うプラットフォームに関するフィードバックやレビューを読み、プラットフォームを注意深くお選びください。可能であれば、プラットフォームの使用経験がある、信頼できるユーザーに相談するとよいでしょう。
  • 取引所のアカウントのログイン情報や、ウォレットの認証情報を誰にも教えてはいけません。パスワードや秘密鍵だけでなく、シードフレーズ (英語記事)も秘密にすることを忘れないでください。
  • 主に扱う仮想通貨預金はコールドウォレットで保管してください。コールドウォレットは、ホットウォレットとは異なり、ずっとオンラインにしておく必要がないため、一般的にホットウォレットよりも安全です。
  • ホットウォレットを使用する場合は、二要素認証を必ずオンにしてください。
  • フィッシングにお気をつけください。仮想通貨を狙う人を見抜く方法についてはこちらの記事 を参考にしてください。
  • 金銭の取引を保護し、マルウェアのせいでウォレットのパスワードや秘密鍵が盗まれることを防ぎ、詐欺サイトを警告するような信頼できるソリューションをお使いください。
ヒント